域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器,或伪造域名解析服务器的方法,把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址(网站)的目的。
在运营和维护网站的过程当中,不少站长都曾经发现过,网站存在无法打开或是打开后被跳转到其他页面的情况。当出现这种情况的时候,我们就需要考虑,网站的域名是否被劫持。域名劫持,也被称之为 DNS(Domain NameSystem 域名系统)劫持,指的是有人通过攻击域名的解析服务器,或是伪造域名解析服务器的方法,将目标网站域名解析到错误的地址上。
什么是域名劫持
域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的 IP 地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定 IP 地址(网站)的目的。
域名劫持有什么危害
域名劫持一方面可能影响用户的上网体验,用户被引到假冒的网站进而无法正常浏览网页,而用户量较大的网站域名被劫持后恶劣影响会不断扩大;另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。域名劫持有哪劫持方法假扮域名注册人和域名注册商通信。伪造域名注册人在注册商处的账户信息。伪造域名注册人的域名转移请求。直接进行一次域名转移请求。修改域名的 DNS 记录。
由于域名劫持只能在特定的网络范围内进行,所以范围外的域名服务器(DNS)能返回正常 IP 地址。攻击者正是利用此点在范围内封锁正常 DNS 的 IP 地址,使用域名劫持技术,通过冒充原域名以 E-MAIL 方式修改公司的注册域名记录,或将域名转让到其他组织,通过修改注册信息后在所指定的 DNS 服务器加进该域名记录,让原域名指向另一 IP 的服务器,让多数网民无法正确访问,从而使得某些用户直接访问到了恶意用户所指定的域名地址。
实施步骤
获取劫持域名注册信息:首先攻击者会访问域名查询站点,通过 MAKE CHANGES 功能,输入要查询的域名以取得该域名注册信息。控制该域名的 E-MAIL 帐号:此时攻击者会利用社会工程学或暴力破解学进行该 E-MAIL 密码破解,有能力的攻击者将直接对该 E-MAIL 进行入侵行为,以获取所需信息。修改注册信息:当攻击者破获了 E-MAIL 后,会利用相关的 MAKE CHANGES 功能修改该域名的注册信息,包括拥有者信息,DNS 服务器信息等。使用 E-MAIL 收发确认函:此时的攻击者会在信件帐号的真正拥有者之前,截获网络公司回馈的网络确认注册信息更改件,并进行回件确认,随后网络公司将再次回馈成功修改信件,此时攻击者成功劫持域名。
不管您使用哪种 DNS,请遵循以下最佳惯例:
不同的网络上运行分离的域名服务器来取得冗余性。外部和内部域名服务器分开(物理上分开或运行 BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位 DNS 记录的过程)。这可以限制哪些 DNS 服务器与 Internet 联系。能时,限制动态 DNS 更新。区域传送仅限制在授权的设备上。用事务签名对区域传送和区域更新进行数字签名。隐藏运行在服务器上的 BIND 版本。除运行在 DNS 服务器上的不必要服务,如 FTP、telnet 和 HTTP。网络外围和 DNS 服务器上使用防火墙服务。将访问限制在那些 DNS 功能需要的端口/服务上。