域名劫持https_域名劫持的过程

摘自MBA智库百科（）

（重定向自 名称 ）

域名劫持（名称）

目录

[编辑]

什么是域名劫持？

域名劫持是指一种互联网攻击手段，即通过攻击域名解析服务器（DNS）或者伪造域名解析服务器（DNS）将目标网站域名解析为错误的地址，使用户无法访问目标网站。

[编辑]

域名劫持的原理

域名解析（DNS）的基本原理是将网络地址（域名，字符串形式）映射到计算机能够识别的真实网络地址（IP地址，如216.239.53.99），以便计算机进一步进行通讯，传输URL和内容等。

由于域名劫持只能在特定的被劫持网络范围内进行，而该范围之外的域名服务器（DNS）可以返回正常的IP地址。高级用户可以在网络设置中将DNS指向这些正常的域名服务器，从而实现网站的正常访问。因此域名劫持通常会伴随有措施——封禁正常DNS的IP。

如果你知道域名的真实IP地址，那么你可以直接用这个IP来代替域名来访问，比如访问，就可以把访问改成 ，从而绕过域名劫持。

[编辑]

域名劫持的流程

由于域名劫持只能在特定的网络范围内进行，范围之外的域名服务器（DNS）可以返回正常的IP地址。攻击者利用这一点封锁该范围内的正常DNS IP地址，使用域名劫持技术，以冒充原域名的邮件形式修改公司注册的域名记录，或将域名转让给其他机构修改注册信息后，将域名记录添加到指定DNS服务器，使原域名指向另一个IP服务器，使得大多数网民无法正确访问，从而让部分用户直接访问恶意用户指定的域名地址。实施步骤如下：

1、获取被劫持的域名注册信息：首先攻击者会访问域名查询网站，使用MAKE函数输入需要查询的域名，从而获取域名注册信息。

2、控制域名的E-MAIL账号：此时攻击者会利用社会工程学或者暴力破解的方式破解E-MAIL密码，有实力的攻击者会直接入侵E-MAIL获取所需信息。

3、修改注册信息：攻击者破解E-MAIL之后，会利用相关的MAKE函数修改域名的注册信息，包括所有者信息，DNS服务器信息等。

4、使用E-MAIL收发确认信件：此时攻击者会在信件账户真正的拥有者之前截取网络公司发回的注册信息变更的网络确认信件，并发送回复确认。然后网络公司会再次发回修改成功的信件。此时攻击者就成功劫持了域名。

[编辑]

防止域名劫持的有效建议

无论您使用哪种 DNS，请遵循以下最佳做法：

1.在不同的网络上运行单独的域名服务器，实现冗余。

2. 分离外部和内部名称服务器（物理上或通过运行 BIND Views）并使用转发器。外部名称服务器应该接受来自几乎任何地址的查询，但转发器不应该。它们应该配置为仅接受来自内部地址的查询。关闭外部名称服务器上的递归（从根服务器向下查找 DNS 记录的过程）。这会限制联系哪些 DNS 服务器。

3. 尽可能限制动态 DNS 更新。

4. 限制区域传输仅到授权设备。

5. 使用交易签名对区域传输和区域更新进行数字签名。

6.隐藏服务器上运行的 BIND 版本。

7. 删除DNS服务器上运行的不必要的服务，例如FTP和HTTP。

8. 在网络边界和 DNS 服务器上使用防火墙服务。限制仅访问 DNS 功能所需的端口/服务。

从 ””