【ITBEAR】8月9日消息,近期,腾讯云DNSPod官方发布了一则重要通知,指出国内大量家用路由器的DNS解析配置遭遇了篡改问题,这一事件严重影响了用户的正常网站和App访问体验。
据通报,该问题自2024年5月开始浮现,并于8月5日达到爆发峰值。幸运的是,截至8月7日,经过紧张的测试与确认,导致此次大规模故障的主要域名在异常的DNS服务器上已经恢复正常。然而,由于TTL(Time To Live)设置及客户端本地缓存的影响,用户端的恢复进程可能会存在一定的延迟。
据ITBEAR了解,在正常情况下,用户访问网站或App时,其设备会向DNS服务器发送请求,以解析网站域名对应的IP地址。DNS服务器随后返回正确的IP地址,使用户的设备能够与目标服务器建立连接并顺利访问网站。然而,在DNS劫持攻击中,恶意DNS服务器会提供错误的IP地址,导致用户可能被引导至错误的网站,或者根本无法访问目标网站。
为了帮助用户自查是否受到此次DNS篡改事件的影响,腾讯云官方提供了一套详细的检查方案。首先,用户应检查其路由器的主DNS配置是否被修改为以下列出的IP地址之一(包括但不限于):122.9.187.125、8.140.21.95等。如果发现主DNS配置被修改,并且辅DNS被设置为1.1.1.1,那么基本可以断定,该家用路由器的DNS配置已被劫持篡改。
如果用户路由器上配置的DNS服务器IP不在上述列表中,还可以通过以下特征来识别是否存在DNS劫持行为:一是域名解析记录的TTL被修改为86400秒,即所有域名解析记录都会被缓存一天;二是间歇性出现大量域名无法正常解析的问题,返回NXDOMAIN+错误的SOA记录,而非正常的A记录或CNAME记录;三是DNS版本为unbound 1.16.2。用户可以通过执行特定的dig命令来检查这些特征。
针对已经确认受到影响的用户,腾讯云建议家用路由器用户尽快升级其路由器的固件,并将DNS服务器修改为运营商的递归DNS或知名的公共DNS,如119.29.29.29,以确保能够恢复正常的域名解析功能。
