一、域名劫持是什么意思

域名劫持（英文：domain Name Hijacking）是互聯(lián)網(wǎng)攻擊的一種方式，通過攻擊域名解析服務(wù)器（DNS），或偽造域名解析服務(wù)器（DNS）的方法，把目標(biāo)網(wǎng)站域名解析到錯(cuò)誤的IP地址從而實(shí)現(xiàn)用戶無法訪問目標(biāo)網(wǎng)站的目的或者蓄意或惡意要求用戶訪問指定IP地址（網(wǎng)站）的目的。

二、域名劫持原理

域名解析（DNS）的基本原理是把網(wǎng)絡(luò)地址（域名，以一個(gè)字符串的形式）對(duì)應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址（IP地址，比如216.239.53.99），以便計(jì)算機(jī)能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。

由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址，高級(jí)用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

如果知道該域名的真實(shí)IP地址，則可以直接用此IP代替域名后進(jìn)行訪問。比如訪問谷歌 ，可以把訪問改為http://216.239.53.99/ ，從而繞開域名劫持。

三、域名劫持過程

由于域名劫持只能在特定的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以范圍外的域名服務(wù)器(DNS)能返回正常IP地址。攻擊者正是利用此點(diǎn)在范圍內(nèi)封鎖正常DNS的IP地址，使用域名劫持技術(shù)，通過冒充原域名以E-MAIL方式修改公司的注冊(cè)域名記錄，或?qū)⒂蛎D(zhuǎn)讓到其他組織，通過修改注冊(cè)信息后在所指定的DNS服務(wù)器加進(jìn)該域名記錄，讓原域名指向另一IP的服務(wù)器，讓多數(shù)網(wǎng)民無法正確訪問，從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址，其實(shí)施步驟如下：

1、獲取劫持域名注冊(cè)信息：首先攻擊者會(huì)訪問域名查詢站點(diǎn)，通過MAKE CHANGES功能，輸入要查詢的域名以取得該域名注冊(cè)信息。

2、控制該域名的E-MAIL帳號(hào)：此時(shí)攻擊者會(huì)利用社會(huì)工程學(xué)或暴力破解學(xué)進(jìn)行該E-MAIL密碼破解，有能力的攻擊者將直接對(duì)該E-MAIL進(jìn)行入侵行為，以獲取所需信息。

3、修改注冊(cè)信息：當(dāng)攻擊者破獲了E-MAIL后，會(huì)利用相關(guān)的MAKE CHANGES功能修改該域名的注冊(cè)信息，包括擁有者信息，DNS服務(wù)器信息等。

4、使用E-MAIL收發(fā)確認(rèn)函：此時(shí)的攻擊者會(huì)在信件帳號(hào)的真正擁有者之前，截獲網(wǎng)絡(luò)公司回饋的網(wǎng)絡(luò)確認(rèn)注冊(cè)信息更改件，并進(jìn)行回件確認(rèn)，隨后網(wǎng)絡(luò)公司將再次回饋成功修改信件，此時(shí)攻擊者成功劫持域名。

四、潛在DNS 劫持目標(biāo)

1、域名注冊(cè)商管理系統(tǒng)

該方法利用了域名管理系統(tǒng)內(nèi)低劣的訪問權(quán)和許可控制的漏洞。通常，攻擊者會(huì)獲得注冊(cè)商門戶網(wǎng)站未受雙重驗(yàn)證或 IP 驗(yàn)證保護(hù)的用戶名和密碼。使其獲得訪問權(quán)，以更改可在帳戶內(nèi)訪問的域名服務(wù)器，從而取得內(nèi)容控制權(quán)。

2、域名服務(wù)器域名注冊(cè)局

注冊(cè)局本身也可能受到破壞。最著名的事件之一是 2016 年一個(gè)巴西注冊(cè)局被污染失效，導(dǎo)致 36 家巴西銀行的域被重定向至完美重構(gòu)的虛假網(wǎng)站達(dá)六個(gè)小時(shí)。欺詐網(wǎng)站甚至擁有以銀行名義發(fā)行的數(shù)字證書，通過偽裝為銀行瀏覽器安全插件更新程序的惡意軟件感染客戶的計(jì)算機(jī)，以此欺騙客戶。

3、DNS 提供商系統(tǒng)

這種攻擊方法源自注冊(cè)商系統(tǒng)或流程內(nèi)的漏洞，可通過被盜用的憑證以未經(jīng)授權(quán)的方式訪問 DNS。

五、幾種常見的域名劫持技術(shù)

1、假扮域名注冊(cè)人和域名注冊(cè)商通信

這類域名盜竊包括使用偽造的傳真，郵件等來修改域名注冊(cè)信息，有時(shí)候，受害者公司的標(biāo)識(shí)之類的也會(huì)用上。增加可信度。

2、偽造域名注冊(cè)人在注冊(cè)商處的賬戶信息

攻擊者偽造域名注冊(cè)人的郵件和注冊(cè)商聯(lián)系。然后賣掉域名或者是讓買家相信自己就是域名管理員。然后可以獲利

3、偽造域名注冊(cè)人的域名轉(zhuǎn)移請(qǐng)求。

這類攻擊通常是攻擊者提交一個(gè)偽造的域名轉(zhuǎn)讓請(qǐng)求，來控制域名信息。

4、直接進(jìn)行一次域名轉(zhuǎn)移請(qǐng)求

這類攻擊有可能改dns，也有可能不改，如果不改的話。是很隱蔽的。但最終盜竊者的目的就是賣掉域名。

5、修改域名的DNS記錄

未經(jīng)授權(quán)的DNS配置更改導(dǎo)致DNS欺騙攻擊。（也稱作DNS緩存投毒攻擊）。這里。數(shù)據(jù)被存入域名服務(wù)器的緩存數(shù)據(jù)庫(kù)里，域名會(huì)被解析成一個(gè)錯(cuò)誤的ip，或是解析到另一個(gè)ip。

六、域名劫持的危害

1、對(duì)于用戶來說，DNS劫持嚴(yán)重影響用戶的上網(wǎng)體驗(yàn)，用戶被劫持到假冒網(wǎng)站進(jìn)而無法正常訪問目標(biāo)網(wǎng)站，同時(shí)用戶還有可能被誘騙到一些違法詐騙網(wǎng)站進(jìn)一步導(dǎo)致信息的泄露甚至是對(duì)用戶的財(cái)產(chǎn)和人身安全造成嚴(yán)重威脅。

2、對(duì)域名持有者而言，遭遇DNS劫持也是件非常嚴(yán)重的問題。它會(huì)導(dǎo)致持有者失去對(duì)域名的控制，站點(diǎn)無法被用戶訪問，使域名積累的流量被引導(dǎo)至惡意IP上，給域名持有者造成嚴(yán)重的經(jīng)濟(jì)損失，甚至可能由于惡意IP的違法經(jīng)營(yíng)，為域名持有者帶來不必要的法律風(fēng)險(xiǎn)。

七、域名劫持解決方法

1、暫停域名解析

當(dāng)我們發(fā)現(xiàn)網(wǎng)站被劫持后，第一時(shí)間將域名解析服務(wù)暫停。我們可以進(jìn)入域名解析服務(wù)器的后臺(tái)，找到被攻擊的域名，并將它刪除，如果是通過服務(wù)商進(jìn)行的域名解析活動(dòng)，則可以聯(lián)系注冊(cè)管理機(jī)構(gòu)或注冊(cè)服務(wù)機(jī)構(gòu)來暫停解析活動(dòng)。

2、更改服務(wù)器的設(shè)置

一旦域名被劫持，黑客會(huì)對(duì)網(wǎng)站和文件進(jìn)行篡改。為了保護(hù)網(wǎng)站數(shù)據(jù)，我們可以通過服務(wù)器的事件管理器，我們可以找到被攻擊者惡意篡改的日志文件，然后我們可以將服務(wù)器事件管理器設(shè)置更改為"可讀"，讓日志文件恢復(fù)，從而確保數(shù)據(jù)或文件的安全。值得注意的是，我們?cè)谠O(shè)置時(shí)，還需要取消"可寫"的權(quán)限，這樣，可以避免文件在后期再次被篡改。

3、舉報(bào)不良頁(yè)面

由于網(wǎng)站在被黑客攻擊后的部分頁(yè)面會(huì)變成不良頁(yè)面，這些不良頁(yè)面也會(huì)成為站點(diǎn)的死鏈，因此必須要處理才能提高網(wǎng)站的搜索。一旦出現(xiàn)這個(gè)情況，我們可以在搜索引擎上舉報(bào)這些不良頁(yè)面，搜索引擎就會(huì)幫助站點(diǎn)進(jìn)行刪除。

最后總結(jié)

優(yōu)化猩SEO：很多企業(yè)網(wǎng)站建設(shè)完成后沒有專人維護(hù)與管理，域名劫持時(shí)有發(fā)生，有些站點(diǎn)甚至發(fā)生域名劫持很長(zhǎng)時(shí)間都沒有人處理，導(dǎo)致網(wǎng)站不能正常訪問，影響公司形象，建議企業(yè)找專業(yè)公司進(jìn)行網(wǎng)站托管服務(wù)，避免網(wǎng)站無人監(jiān)管的狀態(tài)。