域名劫持,又称DNS劫持,是网络攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名,解析到错误的地址,从而达到用户无法访问目标网站的目的。
域名劫持,一方面影响用户的访问体验,用户被链接到假冒的网站上,进而无法正常浏览网页;另一方面,用户可能被诱导至冒牌网站进行登录等操作,导致泄露隐私信息。
一、域名劫持的原理:
域名解析的作用是,把网络地址(域名,以一个字符串的形式),对应到真实的计算机能够识别的网络地址(即IP地址,比如216.239.53.99这样的形式),以便于计算机能够进一步通信,传递网址和内容等。
由于域名劫持往往只能在“特定的、被劫持的网络范围内”进行,所以在此范围外的域名服务器(DNS)则能够返回正常的IP地址,而高级用户可以在网络设置,把DNS指向这些正常的域名服务器,以实现对网址的正常访问。所以域名劫持通常相伴的措施是,封锁正常DNS的IP。
如果知道该域名的真实IP地址,则可以直接用此IP代替域名,进行访问,从而绕开域名劫持。
二、域名劫持的过程:
由于域名劫持只能在特定的网络范围内进行,所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用这一点在范围内封锁正常DNS(域名系统)的IP地址,使用域名劫持技术,通过冒充原域名以e-mail(电子邮件)的方式修改公司的注册域名记录,或将域名转让到其他组织,通过修改注册信息后,在所指定的DNS服务器加进该域名记录,让原域名指向另一个IP的服务器,这样就能让多数用户无法正确访问到目标网站,或者使得某些用户直接访问到了恶意指定的域名地址。
其实施步骤如下:
1、 获取劫持域名注册信息:首先攻击者会访问域名查询站点,通过make changes(做出更改)功能,输入要查询的域名,以取得该域名注册信息。
2、 控制该域名的e-mail(电子邮件)帐号:此时攻击者会利用社会工程学或暴力破解学进行该e-mail(电子邮件)密码破解;有能力的攻击者,将直接对该e-mail(电子邮件)进行入侵行为,以获取所需信息。
3、 修改注册信息:当攻击者破获了e-mail(电子邮件)后,会利用相关的make changes(做出更改)功能修改该域名的注册信息,包括“拥有者信息,DNS服务器信息”等。
4、 使用e-mail(电子邮件)收发确认函:此时的攻击者,会赶在信件帐号的真正拥有者之前,截获网络公司回馈的网络确认注册信息更改件,并进行回件确认,随后网络公司将再次回馈成功修改信件,此时攻击者就成功劫持了该域名。
三、域名劫持的后果:
1、 用户对正常域名的访问,可能会被引到入侵者所设置的挂马、钓鱼网站的页面。
2、 攻击者如果将DNS(域名系统)的域名查询,重定向到恶意DNS(域名系统)服务器。那么被劫持域名的“域名解析”,就完全处于攻击者的控制之下。
四、如何防止域名被劫持?
1、 准备两个以上的域名,一旦黑客进行DNS攻击,用户还可以访问另一个域名。
2、 手动修改DNS: