去年初，波兰遭遇大规模DNS劫持攻击，黑客通过修改家用路由器DNS配置从而劫持用户请求，最终窃取了用户银行里的钱!

　　【事件源头】

　　这件事情的源头是因为ZynOS路由器出现漏洞，导致的大批量DNS劫持，整个流程如下：

　　1、攻击者批量劫持用户DNS

　　2、重写URL迷惑用户

　　3、使用SSLStrip进行请求劫持

　　4、完成劫持

　　【攻击细节】

　　黑客(攻击者)使用了一款工具来实施攻击-SSLStrip，他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接，进行中间人劫持。

　　【SSLStrip工作原理】

　　1、进行中间人攻击来劫持HTTP请求流量。

　　2、将出现的HTTPS链接全部替换为HTTP，同时记录所有改变的链接。

　　3、使用HTTP与受害者机器链接。

　　4、同时与合法的服务器建立HTTPS。

　　5、受害者与合法服务器之间的全部通信请求经过代理(攻击者服务器)转发。

　　6、完成劫持请求

　　攻击的流程原理可用下图表示：

　　【DNS劫持防御解决方案】

　　这种攻击往往不是基于服务端，特别是SSL Stripping技术，其攻击手法不是针对相应固件也不是利用固件漏洞，所以大家有必要好好看一下解决方案，真正的把DNS劫持攻击杜绝在门外!

　　1、检查DNS是否正常

　　拿TP-Link举例，浏览器访问192.168.1.1(一般是这个，除非你改了)，输入账号密码登陆(默认账号密码在说明书上都有)-> 网络参数-> WAN口设置-> 高级设置-> 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。

　　* 如果你没有人工设置过，但勾选了，那就要警惕是否被黑客篡改了。

　　* 如果没勾选，一般情况下没有问题。

　　2、 检查DNS IP是否正常：

　　在百度上搜索下里面的DNS IP看看是不是国内的，如果是国外的则需要警惕了!除非是Google的8.8.8.8这个，看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况，有些正常DNS IP也会有人讨论质疑，这个需要大家自行判断一下，实在没把握就设置DNS IP如下：

　　主DNS服务器：114.114.114.114，备用DNS服务器为：8.8.8.8。关于其他品牌如何修改查看或者修改DNS的话，和上面步骤也差不多，实在找不到的话就百度一下。

　　如果发现被攻击的痕迹，重置路由器是个好办法，当然下面的步骤是必须的：

　　1、修改路由器Web登陆密码

　　路由器一般都会有Web管理页面的，这个管理界面的登陆密码记得一定要修改!一般情况下默认账号密码都是admin，把账号密码最好都修改的复杂些!

　　2、使用工具进行DNS劫持恶意代码检测

　　3、开启计算机防火墙以及安装杀软也能有效的防御此类攻击。

　　需要声明的是，https连接还是安全的，只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候注意网址左侧的安全锁的颜色，绿色、黄色、红色分别代表不同安全级别!绿色是最安全的。