【安全圈】腾讯云：监测到国内大量家用路由器遭 DNS 劫持，服务器端现已恢复

关键词

腾讯云 DNSPod 官方9 日发文，称监测到 国内大量家用路由器的 DNS 解析配置被篡改 ，从而影响到了正常的网站和 App 访问。

该情况于 2024 年 5 月开始出现，于 8 月 5 日集中爆发达到峰值，截至 8 月 7 日，经过测试确认，导致本次故障大规模爆发的域名在异常 DNS 服务器上已经恢复，但受 TTL 及客户端本地缓存的影响，客户端的恢复时间会有一定的滞后性。

正常情况下，用户访问网站或 App 时，会向 DNS 服务器发送请求，解析网站域名对应的 IP 地址。DNS 服务器会返回正确的 IP 地址，用户的设备与目标服务器建立连接并访问网站。

但在 DNS 劫持攻击中，恶意 DNS 服务器会返回错误的 IP 地址，导致用户访问到错误的网站或者无法访问目标网站。

腾讯云官方给出了自查方案，汇总如下：

首先检查您的路由器的主 DNS 配置是否被修改为了类似以下 IP（包括但不限于以下 IP），如果被修改为了以下 IP，并且辅 DNS 被改为 1.1.1.1，基本可以确定您的家用路由器 DNS 被劫持篡改。

• 122.9.187.125

• 8.140.21.95

• 101.37.71.80

• 47.102.126.197

• 118.31.55.110

• 47.109.22.11

• 47.113.115.236

• 47.109.47.151

• 47.108.228.50

• 39.106.3.116

• 47.103.220.247

• 139.196.219.223

• 121.43.166.60

• 106.15.3.137

如果您的路由器上配置的 DNS 服务器 IP 不在上方列表中，您可通过以下典型特征来确认其 DNS 劫持行为：

• 一、域名解析记录 TTL 被修改为 86400 秒，即域名解析记录都会被缓存 1 天。可以在一台能访问公网的终端（如 Mac 电脑或者 Linux 云服务器）中执行命令检查：dig @122.9.187.125 dnspod.cn。其中 122.9.187.125 为示例 IP 地址，您可将其替换为您的家用路由器 DNS 服务器的 IP 地址。

• 
  

• 
  

• 二、间歇性存在大量域名无法正常解析的问题，返回 NXDOMAIN+ 错误的 SOA 记录，而不是返回正常的 A 记录或者 CNAME 记录。可执行命令检查：dig @122.9.187.125 test.ip.dnspod.net。其中 122.9.187.125 为示例 IP 地址，您可将其替换为您的家用路由器 DNS 服务器的 IP 地址。

• 
  

• 
  

• 三、DNS 版本为 unbound 1.16.2。可执行命令检查：dig @122.9.187.125 version.bind chaos txt。其中 122.9.187.125 为示例 IP 地址，您可将其替换为您的家用路由器 DNS 服务器的 IP 地址。

• 
  

如果确认自己已遇到了上述情况，腾讯云建议家用路由器用户升级家用路由器固件，并修改 DNS 服务器为运营商递归 DNS 或 119.29.29.29 等知名公共 DNS，以确保能够正常解析。