一次DNS污染导致的诡异网络故障排查记

一次DNS污染导致的诡异网络故障排查记

某个工作日的早晨，公司内网突然出现诡异现象：部分员工能正常访问企业官网，另一些人却被跳转到钓鱼网站；内部系统间歇性报错，甚至某些设备无法联网。这场看似毫无规律的网络故障，持续了整整两天。作为IT运维人员，我亲历了这场由DNS污染引发的"悬案"，最终抽丝剥茧找到真相。以下是排查过程中的关键节点。

**故障现象扑朔迷离**

最初报告集中在市场部，他们访问官网时频繁弹出赌博广告。奇怪的是，同一WiFi下的技术部却一切正常。初步怀疑是浏览器劫持，但更换设备后问题依旧。更诡异的是，故障仅出现在使用公司DNS服务器的设备上，手动配置公共DNS的终端完全不受影响。

**DNS日志暗藏玄机**

检查内部DNS服务器日志时，发现部分域名解析请求被指向了陌生的IP地址。例如官网域名本该解析到192.168.1.10，却返回了45.67.23.xxx这个境外IP。进一步抓包分析，发现这些异常响应并非来自上游DNS服务器，而是局域网内某台设备在伪装响应。

**内网设备反向污染**

通过ARP扫描定位到一台被入侵的物联网打印机。这台设备因弱密码漏洞遭控制，黑客利用其发起DNS欺骗攻击。每当员工发起DNS查询，打印机就会抢先返回虚假IP，形成"中间人攻击"。由于污染只发生在特定网段，导致故障表现时断时续，极大增加了排查难度。

**安全加固双管齐下**

临时解决方案是关闭涉事打印机，并强制所有终端使用DNSSEC验证的公共DNS。长期措施包括：部署网络准入控制系统、划分IoT设备专用VLAN、启用DNS流量加密。事后溯源发现，攻击者通过打印机漏洞潜伏了近三周，期间还窃取了部分未加密的邮件数据。

这场事故暴露出混合网络环境下的安全隐患。DNS作为互联网的"隐形导航系统"，一旦被污染就会引发连锁反应。而最令人后怕的是，黑客选择在业务低峰期缓慢投毒，若非市场部偶然访问官网，攻击可能长期潜伏。这提醒我们：看似孤立的网络异常，背后或许藏着更大的危机。