域名劫持是什么意思？详解域名劫持的原理、过程、危害及解决办法

2023-07-07 08:55:42

域名劫持是什么意思

一、域名劫持是什么意思

域名劫持（英文：domain Name Hijacking）是互联网攻击的一种方式，通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址（网站）的目的。

二、域名劫持原理

域名解析（DNS）的基本原理是把网络地址（域名，以一个字符串的形式）对应到真实的计算机能够识别的网络地址（IP地址，比如216.239.53.99），以便计算机能够进一步通信，传递网址和内容等。

由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。

如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问谷歌，可以把访问改为http://216.239.53.99/ ，从而绕开域名劫持。

三、域名劫持过程

由于域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址，其实施步骤如下：

1、获取劫持域名注册信息：首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。

2、控制该域名的E-MAIL帐号：此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。

3、修改注册信息：当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。

4、使用E-MAIL收发确认函：此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回馈的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回馈成功修改信件，此时攻击者成功劫持域名。

四、潜在DNS 劫持目标

1、域名注册商管理系统

该方法利用了域名管理系统内低劣的访问权和许可控制的漏洞。通常，攻击者会获得注册商门户网站未受双重验证或 IP 验证保护的用户名和密码。使其获得访问权，以更改可在帐户内访问的域名服务器，从而取得内容控制权。

2、域名服务器域名注册局

注册局本身也可能受到破坏。最著名的事件之一是 2016 年一个巴西注册局被污染失效，导致 36 家巴西银行的域被重定向至完美重构的虚假网站达六个小时。欺诈网站甚至拥有以银行名义发行的数字证书，通过伪装为银行浏览器安全插件更新程序的恶意软件感染客户的计算机，以此欺骗客户。

3、DNS 提供商系统

这种攻击方法源自注册商系统或流程内的漏洞，可通过被盗用的凭证以未经授权的方式访问 DNS。

五、几种常见的域名劫持技术

1、假扮域名注册人和域名注册商通信

这类域名盗窃包括使用伪造的传真，邮件等来修改域名注册信息，有时候，受害者公司的标识之类的也会用上。增加可信度。

2、伪造域名注册人在注册商处的账户信息

攻击者伪造域名注册人的邮件和注册商联系。然后卖掉域名或者是让买家相信自己就是域名管理员。然后可以获利

3、伪造域名注册人的域名转移请求。

这类攻击通常是攻击者提交一个伪造的域名转让请求，来控制域名信息。

4、直接进行一次域名转移请求

这类攻击有可能改dns，也有可能不改，如果不改的话。是很隐蔽的。但最终盗窃者的目的就是卖掉域名。

5、修改域名的DNS记录

未经授权的DNS配置更改导致DNS欺骗攻击。（也称作DNS缓存投毒攻击）。这里。数据被存入域名服务器的缓存数据库里，域名会被解析成一个错误的ip，或是解析到另一个ip。

六、域名劫持的危害

1、对于用户来说，DNS劫持严重影响用户的上网体验，用户被劫持到假冒网站进而无法正常访问目标网站，同时用户还有可能被诱骗到一些违法诈骗网站进一步导致信息的泄露甚至是对用户的财产和人身安全造成严重威胁。

2、对域名持有者而言，遭遇DNS劫持也是件非常严重的问题。它会导致持有者失去对域名的控制，站点无法被用户访问，使域名积累的流量被引导至恶意IP上，给域名持有者造成严重的经济损失，甚至可能由于恶意IP的违法经营，为域名持有者带来不必要的法律风险。

七、域名劫持解决方法

1、暂停域名解析

当我们发现网站被劫持后，第一时间将域名解析服务暂停。我们可以进入域名解析服务器的后台，找到被攻击的域名，并将它删除，如果是通过服务商进行的域名解析活动，则可以联系注册管理机构或注册服务机构来暂停解析活动。

2、更改服务器的设置

一旦域名被劫持，黑客会对网站和文件进行篡改。为了保护网站数据，我们可以通过服务器的事件管理器，我们可以找到被攻击者恶意篡改的日志文件，然后我们可以将服务器事件管理器设置更改为"可读"，让日志文件恢复，从而确保数据或文件的安全。值得注意的是，我们在设置时，还需要取消"可写"的权限，这样，可以避免文件在后期再次被篡改。

3、举报不良页面

由于网站在被黑客攻击后的部分页面会变成不良页面，这些不良页面也会成为站点的死链，因此必须要处理才能提高网站的搜索。一旦出现这个情况，我们可以在搜索引擎上举报这些不良页面，搜索引擎就会帮助站点进行删除。