DNS 劫持有哪些常见方式？站长和网民应如何应对？

DNS 系统中有两种服务角色：递归 DNS 和授权 DNS。授权 DNS 控制网站的解析，递归 DNS 只起缓存的作用，所以跟广大站长关系比较大的是授权 DNS，也就是在域名注册商处填写的 DNS 地址，而网民使用的则是递归 DNS。

DNS劫持分为两类：

针对授权 DNS 的劫持

该种攻击有两种方式，第一种是控制域名注册商处的帐号，例如，几年前黑客攻击了某厂商在域名注册商处的帐号，将 xx.com 的 NS 记录修改掉，相当于换了授权 DNS。这属于从源头上控制了内容，使得所有递归 DNS 被污染，所有网民都访问到错误的页面。此时用 dig 或 nslookup 等工具检查，会发现所有 DNS 服务器的内容都是错误的。解决该问题不仅要将 NS 记录修改回自己的授权 DNS 服务器，同时还需要等待所有递归 DNS 缓存过期，刷新数据之后，才能访问到正确的网站。第二种是入侵授权 DNS 的服务器，完全掌握授权 DNS，这个难度比较大。

针对递归 DNS 的劫持

由于 DNS 系统采用了不可靠的 UDP 数据包进行通信，攻击者就有机会假冒授权 DNS 服务器，使用假的数据欺骗递归 DNS。针对递归 DNS 的攻击通常是地域性的，例如，黑客攻击了某一个或某几个递归 DNS 服务器，只有使用了该递归 DNS 的访问受影响，使用 dig 或 nslookup 测试会发现某些递归 DNS 服务器结果是错误的，而某些是正确的。

对于普通网民来说，建议使用更安全的递归 DNS，例如 的公共 DNS 114.114.114.114/114.114.115.115。一般情况下，公共 DNS 被劫持的可能性较小，如果114.114.114.114返回的结果是正确的，就说明授权 DNS 服务是正常的。对于广大站长来说，建议做好在域名注册商处的账号安全，并使用技术实力强大的供应商提供的授权 DNS 服务。