域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。说的直白些,域名劫持,就是把互联网域名从它的合法主人那里偷窃的过程。域名劫持也称为域名盗窃。在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则直接返回假的IP地址或者什么也不做使得请求失去响应,其效果就是对特定的网址不能访问或进行假网址的访问。简单的说,域名劫持是阻止网民直接访问某个域名所绑定的网站。
域名劫持的方法
主要有三种
1.通过欺骗的方式获得域名注册公司信息并进行修改
这是较为常见的域名劫持方法。
首先,获取劫持域名注册信息:首先攻击者会访问域名查询站点,通过MAKE CHANGES功能,输入要查询的域名以取得该域名注册信息。
其次,控制该域名的E-MAIL帐号:此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解,有能力的攻击者将直接对该E-MAIL进行入侵行为,以获取所需信息。
然后,修改注册信息:当攻击者破获了E-MAIL后,会利用相关的MAKE CHANGES功能修改该域名的注册信息,包括拥有者信息,DNS服务器信息等。
再次,使用E-MAIL收发确认函:此时的攻击者会在信件帐号的真正拥有者之前,截获网络公司回溃的网络确认注册信息更改件,并进行回件确认,随后网络公司将再次回溃成攻修改信件,此时攻击者成功劫持域名。
最后,加入域名记录:当完成上述劫持后,攻击者将会在注册信息DNS服务器中加入域名PTR记录,并指向另一IP服务器,完成域名重指地址。
2.直接入侵DNS服务器,从而修改解析地址。
3. ARP欺骗,使用netfuke进行ARP欺骗,只需拿下一台C段服务器上传netfuke开启ARP后直接将目标IP的域名进行跳转即可
域名劫持的影响
- 用户无法正常访问网站,导致网站流量损失
- 通过泛解析生产大量子域名,共同指向其他地址
- 域名被解析到恶意钓鱼网站,导致用户损失
- 当域名被劫持后的内容干扰搜索结果时,为保障用户的使用体验和安全,百度搜索引擎会暂时关闭对域名的收录和展示,待严格审核确认后才会再度放开
如何预防域名劫持
- 为域名注册商和注册用邮箱设置复杂密码,且经常更换。使用单独的DNS服务,也需要对密码进行上述设置。同时注意不要在多个重要注册地使用相同的用户名和密码。
- 将域名更新设置为锁定状态,不允许通过DNS服务商网站修改记录。但是使用此方法后,需要做域名解析都要通过服务商来完成,时效性较差
- 定期检查域名帐户信息、域名WHOIS信息,每天site网站检查是否有预期外网页
- 网站运营和优化人员经常详细检查网站索引和外链信息,对异常情况一定要检查清楚。
域名被劫持后该怎么做
- 立即修改域名服务商和邮箱密码,使用复杂度高的密码且经常更换
- 删除不属于你的DNS解析,恢复DNS设置
- 如果使用的是第三方DNS服务,应立即修改第三方DNS服务端帐户密码,锁定帐户信息,开启帐户短信邮箱类提醒
- 如果该服务商下域名经常出现被劫持事件,可考虑更换更安全稳定的服务商。有能力的网站可自建DNS服务,自主运维自负风险。