DNS劫持-网上那些乱七八糟的广告怎么来的

流水寒丶

DNS 劫持（域名劫持）对网络犯罪分子而言是一个有吸引力的攻击形式。这类攻击的受害者
基本上不知道他们的系统受到了攻击，对于安全提供商来说要想准确识别攻击本身也是相当麻烦。

为什么色情广告漫天飞？
DNS（域名系统）劫持攻击粗略分为两个类别 - 要么您的计算机的DNS设置被篡改（由一个恶意软件或PUA，潜在不需要的应用程序），或您的家庭路由器的设置被攻击者篡改（这意味着，在大多数情况下，所有连接到路由器的设备接收指向恶意DNS服务器）。
黑客攻击路由器的方式有两种。一是通过猜测设备管理界面的登录密码（这是很常见的，因为很多人不改变他们的默认路由器设置），而是通过路由器的软件上的漏洞。一旦DNS设置被篡改后，攻击者可以执行各种恶意动作。例如，DNS劫持的受害者被指向到他们网上银行的木马版本，从而犯罪分子窃取密码账户或劫持网上交易过程。受害者或被指向到专门为窃取登录凭据而设计的木马社交媒体网站，这些凭证可以被用来收集个人信息或身份窃取。


最后，流氓DNS服务器可以篡改出现在受害者访问的合法网站上的广告。这些广告的范围可以从一个更多主动（弹出式广告，背后广告等），显示用户没有期望的内容（色情网站，壮阳广告等），甚至欺骗用户做他们不应该的东西（弹出窗口声称你的机器被感染，提示你到一个可以“修复”问题网站）。

现实很复杂-芬氏观察家
通过查看后端系统中的数据，F-Secure专家约98%的客户群使用自己互联网服务提供商的DNS服务器。在剩余的2%中，一半正在使用已知的公共DNS服务器（如Google DNS），另一半使用“非官方”开放DNS服务器。

根据我们的分析，最后1%的客户使用的许多开放DNS服务器是合法开放的DNS服务器。我们估计只有10%- 20%的用户被指向流氓DNS服务器。这个让我们估计大约0.1% - 0.2%的客户群受到DNS劫持攻击的影响。其中绝大多数来自Windows恶意软件/ PUA活动，而不是路由器劫持。

参与DNS劫持的犯罪分子
似乎是一撮聪明人。喜欢闷声发“稳”财甚于一竿子快钱。来自DNSUnlocker和Looksafe的DNS劫持活动的“业务营业额”占据了我们见到的域名劫持的最大市场份额。如上所述，识别真正恶意的DNS服务器往往很难。虽然我们可以查询通常重定向到受损网站可疑DNS服务器的地址，并检查解析哪些IP地址，在很多情况下，这类查询无法产生确凿的证据。一些合法的DNS服务器，如广告拦截商使用的那些，可能是正常的，但看起来像流氓DNS服务器。其他已知的正常服务器可能已被攻击者感染。情况很复杂。DNS劫持背后的黑客可能知道这一不确定因素并利用它。



横财就手

所以，我们看到的大多数流氓DNS服务器被用于广告劫持。如何运作？回到我们上面的解释，受害者设备中DNS设置重定向一个受损的DNS服务器，比如，它为google-analytics.com网站解析替代性的IP地址。受影响的网站然后注入JavaScript到浏览器预期的回复，这将导致以下情况-并非由Google策划的替代性或原本不存在的广告出现在受害者的浏览器中。当这些广告显示在受害者浏览的网页上时，黑客可以从中获取提成。


如果你认真想想，它是有道理的。若黑客直接从DNS劫持的受害者银行帐户偷钱，或利用受害人的社交媒体帐户发送恶意软件给其他的联系人，他们很快就会发现问题并解决问题。
攻击者为入侵他们的设备投资的时间可能会获得短期回报，但就会提供稳定收入流的设备会马上减少一个。

相比之下，广告劫持为犯罪分子提供稳定的现金流，由于受害者很难注意到什么异常，他们继续得到广告提成并且不被发现。

到了最后我们发现，参与DNS 劫持的犯罪分子似乎足够聪明，宁愿闷声获取“稳定”收入，而非赚一竿子快钱。

Fcatty

我想问问右下角写着谷歌提供的广告是因为什么 我的电脑里ie  egde会出现 火狐则没有  火狐安装了adb edge没有安装  特地重做过系统  也会出现这种情况   是dns的原因吗

julia跺跺

Fcatty 发表于 2017-3-11 11:12
我想问问右下角写着谷歌提供的广告是因为什么 我的电脑里ie  egde会出现 火狐则没有  火狐安装了adb edge没 ...

确保系统干净，更换dns，之后还是复现，考虑运营商劫持。

nonote

一般都是HTTP劫持，或者是缓存服务器什么的，运营商那边制定DNS服务器，用户这边不论怎么修改DNS都没用。

nonote

一般都是HTTP劫持，或者是缓存服务器什么的，运营商那边制定DNS服务器，用户这边不论怎么修改DNS都没用。

Fcatty

julia跺跺 发表于 2017-3-11 11:16
确保系统干净，更换dns，之后还是复现，考虑运营商劫持。

那应该是运营商了  MSN下的系统  换过谷歌的DNS 还是出

WLZLCX

运营商HTTP劫持，去工信部投诉

julia跺跺

Fcatty 发表于 2017-3-11 12:52
那应该是运营商了  MSN下的系统  换过谷歌的DNS 还是出

打电话投诉他们