一、域名劫持是什么意思

域名劫持（英文：domain Name Hijacking）是互聯(lián)網(wǎng)攻擊的一種方式，通過攻擊域名解析服務(wù)器（DNS），或偽造域名解析服務(wù)器（DNS）的方法，把目標網(wǎng)站域名解析到錯誤的IP地址從而實現(xiàn)用戶無法訪問目標網(wǎng)站的目的或者蓄意或惡意要求用戶訪問指定IP地址（網(wǎng)站）的目的。

二、域名劫持原理

域名解析（DNS）的基本原理是把網(wǎng)絡(luò)地址（域名，以一個字符串的形式）對應(yīng)到真實的計算機能夠識別的網(wǎng)絡(luò)地址（IP地址，比如216.239.53.99），以便計算機能夠進一步通信，傳遞網(wǎng)址和內(nèi)容等。

由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址，高級用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實現(xiàn)對網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

如果知道該域名的真實IP地址，則可以直接用此IP代替域名后進行訪問。比如訪問谷歌 ，可以把訪問改為http://216.239.53.99/ ，從而繞開域名劫持。

三、域名劫持過程

由于域名劫持只能在特定的網(wǎng)絡(luò)范圍內(nèi)進行，所以范圍外的域名服務(wù)器(DNS)能返回正常IP地址。攻擊者正是利用此點在范圍內(nèi)封鎖正常DNS的IP地址，使用域名劫持技術(shù)，通過冒充原域名以E-MAIL方式修改公司的注冊域名記錄，或?qū)⒂蛎D(zhuǎn)讓到其他組織，通過修改注冊信息后在所指定的DNS服務(wù)器加進該域名記錄，讓原域名指向另一IP的服務(wù)器，讓多數(shù)網(wǎng)民無法正確訪問，從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址，其實施步驟如下：

1、獲取劫持域名注冊信息：首先攻擊者會訪問域名查詢站點，通過MAKE CHANGES功能，輸入要查詢的域名以取得該域名注冊信息。

2、控制該域名的E-MAIL帳號：此時攻擊者會利用社會工程學(xué)或暴力破解學(xué)進行該E-MAIL密碼破解，有能力的攻擊者將直接對該E-MAIL進行入侵行為，以獲取所需信息。

3、修改注冊信息：當攻擊者破獲了E-MAIL后，會利用相關(guān)的MAKE CHANGES功能修改該域名的注冊信息，包括擁有者信息，DNS服務(wù)器信息等。

4、使用E-MAIL收發(fā)確認函：此時的攻擊者會在信件帳號的真正擁有者之前，截獲網(wǎng)絡(luò)公司回饋的網(wǎng)絡(luò)確認注冊信息更改件，并進行回件確認，隨后網(wǎng)絡(luò)公司將再次回饋成功修改信件，此時攻擊者成功劫持域名。

四、潛在DNS 劫持目標

1、域名注冊商管理系統(tǒng)

該方法利用了域名管理系統(tǒng)內(nèi)低劣的訪問權(quán)和許可控制的漏洞。通常，攻擊者會獲得注冊商門戶網(wǎng)站未受雙重驗證或 IP 驗證保護的用戶名和密碼。使其獲得訪問權(quán)，以更改可在帳戶內(nèi)訪問的域名服務(wù)器，從而取得內(nèi)容控制權(quán)。

2、域名服務(wù)器域名注冊局

注冊局本身也可能受到破壞。最著名的事件之一是 2016 年一個巴西注冊局被污染失效，導(dǎo)致 36 家巴西銀行的域被重定向至完美重構(gòu)的虛假網(wǎng)站達六個小時。欺詐網(wǎng)站甚至擁有以銀行名義發(fā)行的數(shù)字證書，通過偽裝為銀行瀏覽器安全插件更新程序的惡意軟件感染客戶的計算機，以此欺騙客戶。

3、DNS 提供商系統(tǒng)

這種攻擊方法源自注冊商系統(tǒng)或流程內(nèi)的漏洞，可通過被盜用的憑證以未經(jīng)授權(quán)的方式訪問 DNS。

五、幾種常見的域名劫持技術(shù)

1、假扮域名注冊人和域名注冊商通信

這類域名盜竊包括使用偽造的傳真，郵件等來修改域名注冊信息，有時候，受害者公司的標識之類的也會用上。增加可信度。

2、偽造域名注冊人在注冊商處的賬戶信息

攻擊者偽造域名注冊人的郵件和注冊商聯(lián)系。然后賣掉域名或者是讓買家相信自己就是域名管理員。然后可以獲利

3、偽造域名注冊人的域名轉(zhuǎn)移請求。

這類攻擊通常是攻擊者提交一個偽造的域名轉(zhuǎn)讓請求，來控制域名信息。

4、直接進行一次域名轉(zhuǎn)移請求

這類攻擊有可能改dns，也有可能不改，如果不改的話。是很隱蔽的。但最終盜竊者的目的就是賣掉域名。

5、修改域名的DNS記錄

未經(jīng)授權(quán)的DNS配置更改導(dǎo)致DNS欺騙攻擊。（也稱作DNS緩存投毒攻擊）。這里。數(shù)據(jù)被存入域名服務(wù)器的緩存數(shù)據(jù)庫里，域名會被解析成一個錯誤的ip，或是解析到另一個ip。

六、域名劫持的危害

1、對于用戶來說，DNS劫持嚴重影響用戶的上網(wǎng)體驗，用戶被劫持到假冒網(wǎng)站進而無法正常訪問目標網(wǎng)站，同時用戶還有可能被誘騙到一些違法詐騙網(wǎng)站進一步導(dǎo)致信息的泄露甚至是對用戶的財產(chǎn)和人身安全造成嚴重威脅。

2、對域名持有者而言，遭遇DNS劫持也是件非常嚴重的問題。它會導(dǎo)致持有者失去對域名的控制，站點無法被用戶訪問，使域名積累的流量被引導(dǎo)至惡意IP上，給域名持有者造成嚴重的經(jīng)濟損失，甚至可能由于惡意IP的違法經(jīng)營，為域名持有者帶來不必要的法律風險。

七、域名劫持解決方法

1、暫停域名解析

當我們發(fā)現(xiàn)網(wǎng)站被劫持后，第一時間將域名解析服務(wù)暫停。我們可以進入域名解析服務(wù)器的后臺，找到被攻擊的域名，并將它刪除，如果是通過服務(wù)商進行的域名解析活動，則可以聯(lián)系注冊管理機構(gòu)或注冊服務(wù)機構(gòu)來暫停解析活動。

2、更改服務(wù)器的設(shè)置

一旦域名被劫持，黑客會對網(wǎng)站和文件進行篡改。為了保護網(wǎng)站數(shù)據(jù)，我們可以通過服務(wù)器的事件管理器，我們可以找到被攻擊者惡意篡改的日志文件，然后我們可以將服務(wù)器事件管理器設(shè)置更改為"可讀"，讓日志文件恢復(fù)，從而確保數(shù)據(jù)或文件的安全。值得注意的是，我們在設(shè)置時，還需要取消"可寫"的權(quán)限，這樣，可以避免文件在后期再次被篡改。

3、舉報不良頁面

由于網(wǎng)站在被黑客攻擊后的部分頁面會變成不良頁面，這些不良頁面也會成為站點的死鏈，因此必須要處理才能提高網(wǎng)站的搜索。一旦出現(xiàn)這個情況，我們可以在搜索引擎上舉報這些不良頁面，搜索引擎就會幫助站點進行刪除。

最后總結(jié)

優(yōu)化猩SEO：很多企業(yè)網(wǎng)站建設(shè)完成后沒有專人維護與管理，域名劫持時有發(fā)生，有些站點甚至發(fā)生域名劫持很長時間都沒有人處理，導(dǎo)致網(wǎng)站不能正常訪問，影響公司形象，建議企業(yè)找專業(yè)公司進行網(wǎng)站托管服務(wù)，避免網(wǎng)站無人監(jiān)管的狀態(tài)。