几年前，一些网络犯罪嫌疑人在互联网上编写了一个名为DNSChanger的恶意软件家族。大约一年前，执法部门追查到了这个恶意软件背后的网络犯罪嫌疑人，逮捕了他们，并接管了他们用来将客户重定向到流氓网站的服务器。根据法庭的命令，在联邦调查局的指导下，互联网系统联盟（ISC）在去年继续运行恶意软件使用的DNS服务器。然而，法院的命令将很快到期，这些服务器计划于2012年7月9日关闭。当这种情况发生时，成千上万的互联网用户，他们的系统仍然受到感染和/或影响，可能会失去对网络、电子邮件和其他任何依赖于域名系统的访问。这是两个互联网基础设施初创公司CloudFlare和OpenDNS如何在帮助解决这个问题上扮演一个小角色的故事。有点DNS背景首先，为了理解这个故事，您需要了解DNS服务器有两种类型：递归和权威。每个使用因特网的人都需要一个递归的DNS服务器。您的ISP通常提供这些类型的服务，或者您可以使用OpenDNS、Google、DNSAdvantage等提供商，或者甚至自己运行服务器来处理递归DNS查询。另一方面，每个域至少需要一个权威的DNS服务器。权威服务器是托管和发布特定域记录的地方。许多域注册商提供权威的DNS服务器，或者您可以使用CloudFlare这样的服务，我们提供权威的DNS。当互联网用户在浏览器中输入一个通用资源标识符（URI），也就是通用资源定位器（URL），点击链接，或者发送电子邮件时，他们的计算机就会查询他们的递归DNS提供者。如果递归DNS提供程序缓存了答案，则它将响应。如果它没有缓存答案，或者它的答案是过时的，那么递归DNS服务器将查询权威DNS服务器。如上所述，OpenDNS提供递归DNS。他们的客户都是网络冲浪者，他们提供了一个非常好的服务，帮助加快互联网浏览速度，保护人们在网络上免受恶意软件的攻击。CloudFlare提供权威DNS。我们的客户是网站，我们使这些网站更快，并保护网站免受针对他们的攻击。虽然我们经常被问到OpenDNS和CloudFlare是否具有竞争力，但实际上这两种服务是互补的，只是使用DNS的不同部分（递归和权威）来实现类似的任务：更快、更安全、更好的互联网。网络犯罪嫌疑人如何利用域名系统做坏事DNSChanger恶意软件家族旨在更改互联网用户的计算机查询的递归DNS服务器。恶意软件没有将DNS查询定向到您或ISP配置的递归服务器，而是修改了计算机设置，将查询路由到可疑网络犯罪分子控制的递归DNS服务器。DNS的工作是翻译一个域名，如dcwg.org网站，这是人类喜欢的，进入一个IP地址，如108.162.205.64，服务器和路由器可以使用。如果你是一个网络罪犯，你可以控制某人的递归DNS，那么你可以将某些站点的流量定向到该站点的一个伪版本。一旦DNSChanger让网络冲浪者查询流氓递归DNS服务器，所有合法网站的请求都可能指向一个伪造的网站。例如，即使你在浏览器中输入了你银行的域名，如果可疑的网络犯罪分子控制了递归DNS，那么他们就可以把你送到一个恶意网站窃取你的信息。多年来，DNSChanger不受限制地运行，超过一百万台计算机和家庭路由器修改了它们的DNS配置。值得庆幸的是，执法部门能够追踪到恶意软件背后的网络犯罪嫌疑人，逮捕他们，并控制了流氓递归DNS服务器。不幸的是，成千上万的计算机仍在使用以前的恶意递归DNS服务器。2012年7月9日，法院命令ISC操作服务器的命令到期，这些服务器计划关闭。在那一天，所有仍由DNSChanger修改其DNS设置的系统将被有效地切断与互联网的连接。把话说出来DNSChanger工作组（DCWG）是一个松散的附属组织，由世界上一些最大和最有能力的isp、搜索引擎供应商、软件供应商、安全公司等组成，一直致力于让人们了解这个问题，并减少DNSChanger递归服务器关闭的影响。DCWG建立了一个网站(dcwg.org网站)为了提供有关恶意软件的信息，让人们测试他们是否被感染，并提供如何修复系统的建议。当dcwg.org网站联系我们是因为他们的网站在受到各大媒体的关注后负荷很大。CloudFlare帮助dcwg.org网站网站在线下载引起媒体关注近10天。我们将超过95%的流量转移到网站上，确保了网站运行快速和稳定，即使是在首页上美国有线电视新闻网.不幸的是，在试图解决像DNSChanger这样的情况时，其中一个挑战就是你只知道去dcwg.org网站网站，如果你已经知道它。你需要的是一种类似于紧急广播系统的东西，它能通知那些被感染的人他们在上网时遇到了问题。在与DCWG合作的过程中，我们意识到我们可能能够提供帮助。我们的一些工程师创建了一个名为Visitor DNSChanger Detector app的应用程序。CloudFlare上的任何网站都可以通过单击我们的应用程序市场来启用该应用程序。该应用程序在页面上安装一小段Javascript，测试访问者是否感染。如果测试没有检测到任何东西，什么也不会发生。如果测试表明正在使用DNSChanger递归服务器，那么页面顶部会显示一条横幅，访问者将被引导到如何清除感染的说明（稍后会有更多信息）。

每月有超过4.7亿人通过CloudFlare的网络。我们的数据显示，超过一半的感染DNSChanger的人每月至少会访问CloudFlare上的一个站点。这个Visitor Dnshanger Detector应用程序的强大之处在于，随着CloudFlare发布者的启用，在2012年7月9日无法使用互联网之前，感染者获得感染信息的可能性越来越大。虽然我们已经让CloudFlare网络上的发布者非常容易地帮助发布消息，但我们不想将参与限制在使用我们服务的那些网站上。因此，我们决定公开发布检查代码，并将其作为开源代码，以便任何可以在网页上安装几行Javascript的人都可以在自己的网站上安装它，以通知潜在的感染者。您可以从以下GitHub Repo访问代码。我们希望大大小小的网站都能花时间安装代码，以帮助他们通知可能被感染的访问者。被通知感染的人该怎么办？虽然CloudFlare能够帮助通知网络冲浪者他们感染了病毒，但我们并不是特别适合解决这个问题。毕竟，直接受到影响的并不是我们的客户，而是我们客户的客户。许多受感染的人可以从他们的ISP那里得到帮助，但对一些人来说，这可能不是一个选择。CloudFlare联系了OpenDNS的首席执行官davidulevitch，他认为这是一个很好的机会，可以进一步推动OpenDNS帮助构建一个更好的互联网的使命。我们添加了OpenDNS作为当Javascript检测到DNSChanger递归服务器的使用时，发布者向其客户显示的资源。DNS的力量这个事件向我展示了支撑互联网的DNS系统的重要性和威力。这些网络犯罪嫌疑人能够修改域名系统的设置，窃取广告收入，并进行其他非法活动。CloudFlare使用权威的DNS来提供强大的工具来提高站点的速度，甚至帮助创建一种针对Internet的紧急警告系统。OpenDNS为客户提供高性能的递归DNS缓存服务。综合起来，我们希望能帮助DCWG公布消息，以便仍然受到DNSChanger恶意软件影响的数十万互联网用户能够采取措施，确保他们能够在2012年7月10日及以后使用互联网。