快科技8月9日消息，今日， 騰訊云DNSPod公眾號發(fā)文，稱近期監(jiān)測到大量家用路由器的DNS解析配置被篡改，從而影響到了正常的網(wǎng)站和APP訪問。

據(jù)介紹，該情況于2024年5月開始出現(xiàn)，8月5日集中爆發(fā)達到峰值。

截止8月7日，經(jīng)過測試確認，導致本次故障大規(guī)模爆發(fā)的域名在異常DNS服務(wù)器上已經(jīng)恢復。

但受TTL及客戶端本地緩存的影響，客戶端的恢復時間會有一定的滯后性。

據(jù)了解，正常情況下，用戶訪問網(wǎng)站或APP時，會向DNS服務(wù)器發(fā)送請求，解析網(wǎng)站域名對應(yīng)的IP地址。

DNS服務(wù)器會返回正確的IP地址，用戶的設(shè)備與目標服務(wù)器建立連接并訪問網(wǎng)站。

但在DNS劫持攻擊中，惡意DNS服務(wù)器會返回錯誤的IP地址，導致用戶訪問到錯誤的網(wǎng)站或者無法訪問目標網(wǎng)站。

騰訊還給出了如何自查路由器DNS被修改的方法。

首先檢查路由器的主DNS配置是否被修改為了類似以下IP（包括但不限于以下IP），如果被修改為了以下 IP，并且輔DNS被改為1.1.1.1，基本可以確定家用路由器DNS被劫持篡改。

如果路由器上配置的DNS服務(wù)器IP不在上方列表中，用戶可通過以下典型特征來確認其DNS劫持行為。

1、域名解析記錄TTL被修改為86400秒，即域名解析記錄都會被緩存1天。

可以在一臺能訪問公網(wǎng)的終端（如Mac電腦或者Linux云服務(wù)器）中執(zhí)行命令檢查：dig @122.9.187.125 dnspod.cn

其中122.9.187.125為示例IP地址，用戶可將其替換為家用路由器DNS服務(wù)器的IP地址。

2、間歇性存在大量域名無法正常解析的問題，返回NXDOMAIN+錯誤的SOA記錄，而不是返回正常的A記錄或者CNAME記錄。

可執(zhí)行命令檢查：dig @122.9.187.125 test.ip.dnspod.net

其中122.9.187.125為示例IP地址，用戶可將其替換為的家用路由器DNS服務(wù)器的IP地址。

3、DNS版本為unbound 1.16.2。

可執(zhí)行命令檢查：dig @122.9.187.125 version.bind chaos txt

其中122.9.187.125為示例IP地址，用戶可將其替換為家用路由器DNS服務(wù)器的IP地址。

若確認遇到上述情況，建議升級家用路由器固件，并修改DNS服務(wù)器為運營商遞歸DNS或119.29.29.29等知名公共DNS，以確保能夠正常解析。