我们可能经常遇到DNS连接错误,但由幕后攻击而导致发生DNS错误的次数却逐渐增长。在此次的讨论中,你会发现对DNS服务某些常见问题的讨论变成了对恶意软件攻击的研究。
ITKE的会员kfettig贴出了下面的问题:
我所在办公室的两名网络使用者突然不能登录他们过去经常登录的一些网络站点了。我可以用办公室的其他机器成功登录到这些站点,而这两名网络使用者在试图登录网站时总是收到“该页无法显示”的消息;在该错误页面的最下方,显示的错误原因是:“DNS错误或者服务器未找到”。
他们可以成功登录到其他网络站点上,这并不是网站出了问题,因为我在其他机器上也可以成功登录这些站点…我试着修改了浏览器的安全设置,但这并没有太大的效果。我们未对机器和网络做任何修改:我们没有安装新的硬件和软件。同时这两台电脑上也没有感染任何病毒。如果你们能解决这个问题的话,请联系我!
ITKE的会员ghigbee回复道:
一个快速测试这台问题机器是否存储了错误DNS项的方法是,在一台正常工作的机器上ping该网站,并比较该解析地址与出错机器上的解析地址是否相同。如果两个地址不匹配,输入ipconfig/flushdns[一个重新设置DNS解析服务器缓存的命令],然后重新尝试登录出错网站,观察问题是否得到了解决。
你也可以检查它们的本地文件,[一种表明本地主机名称与IP地址映射关系的文件],查看里面是否写入了一些违规内容,很多病毒会将一些DNS项信息写入到你的本地文件中去。
ITKE的会员astronomer 回复说:
[Ghigbee]所提出的检测本地文件的主意非常棒,但我建议你(在运行良好和运行出错的两台机器上)使用nslookup[一个用来寻找本地匹配IP地址的程序]。它们都在同一DNS服务器上得到响应信息了么?如果机器运行状况相同的话,它们得到的回复信息应该也是相同的。如果它们运行状况相同,却依然得到不同的响应结果,那么我会怀疑问题是由因DNS重定向或是类似的恶意软件导致的。
kfettig回复道:
谢谢你,astronomer。我从没想过比较两者的DNS服务器,但可以确定的是(经我测试后)那些工作出错的机器指向了其他DNS服务器。我敢确定没有人修改过这些参数,难道是恶意软件搞得鬼吗?再次对你的回复表示感谢…
astronomer回复道:
恶意软件肯定可以做到这一点。你可能会对当前Java脚本的强大功能感到震惊。我曾看过一个演示:测试者上传一个脚本到IIS服务器,然后用其他客户端将该脚本下载下来,(仅仅是点了连接),结果该客户端便遭到了破坏。他由此安装了一个键盘记录器,并用来查看该客户过去经常访问的网站。后来,在他的黑客服务器上找到了一个用来登录某商业网站的用户名和密码。随后,他浏览了当地的网络并发现了一个DSL拨号器,于是他尝试使用生产商的默认管理员账号和密码打开了它。毫无疑问,这将是下一个更具攻击危险性的领域。
【编辑推荐】