域名劫持域名劫持域名劫持是互聯(lián)網(wǎng)攻擊的一種方式，通過攻擊域名解析服務(wù)器（DNS ），或偽造域名解析服務(wù)器（DNS ）的方法，把目標(biāo)網(wǎng)站域名解析到錯(cuò)誤的地址而達(dá)到無法訪問目標(biāo)網(wǎng)站的目的。目錄

域名劫持

域名劫持

域名劫持是互聯(lián)網(wǎng)攻擊的一種方式，通過攻擊域名解析服務(wù)器（DNS ），或偽造域名解析服務(wù)器（DNS ）的方法，把目標(biāo)網(wǎng)站域名解析到錯(cuò)誤的地址而達(dá)到無法訪問目標(biāo)網(wǎng)站的目的。

目錄

曾經(jīng)遭遇域名劫持的安全衛(wèi)士360

域名劫持就是在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，分析請(qǐng)求的域名，把審查范圍以外的請(qǐng)求放行，否則直接返回假的IP 地址或者什么也不做使得請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)址不能訪問或訪問的是假網(wǎng)址。 編輯本段原理

域名解析（DNS ）的基本原理是把網(wǎng)絡(luò)地址（域名，以一個(gè)字符串的形式，比如 www。google 。com ）對(duì)應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址（IP 地址，比如216.239.53.99 這樣的形式），以便計(jì)算機(jī)能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。

由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP 地址，高級(jí)用戶可以在網(wǎng)絡(luò)設(shè)置把DNS 指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS 的IP 。

如果知道該域名的真實(shí)IP 地址，則可以直接用此IP 代替域名后進(jìn)行訪問。比如訪問http://www。google 。com/ ，可以把訪問改為

編輯本段域名劫持過程

由于域名劫持只能在特定的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以范圍外的域名服務(wù)器(DNS)能還回正常IP 地址。攻擊者正是利用此點(diǎn)在范圍內(nèi)封鎖正常DNS 的IP 地址，使用域名劫持技術(shù)，通過冒充原域名以E-MAIL 方式修改公司的注冊(cè)域名記錄，或?qū)⒂蛎D(zhuǎn)讓到其他組織，通過修改注冊(cè)信息后在所指定的DNS 服務(wù)器加進(jìn)該域名記錄，讓原域名指向另一IP 的服務(wù)器，讓多數(shù)網(wǎng)名無法正確訪問，從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址，其實(shí)施步驟如下：

一、獲取劫持域名注冊(cè)信息：首先攻擊者會(huì)訪問域名查詢站點(diǎn)，通過MAKE CHANGES功能，輸入要查詢的域名以取得該域名注冊(cè)信息。

二、控制該域名的E-MAIL 帳號(hào)：此時(shí)攻擊者會(huì)利用社會(huì)工程學(xué)或暴力破解學(xué)進(jìn)行該E-MAIL 密碼破解，有能力的攻擊者將直接對(duì)該E-MAIL 進(jìn)行入侵行為，以獲取所需信息。

三、修改注冊(cè)信息：當(dāng)攻擊者破獲了E-MAIL 后，會(huì)利用相關(guān)的MAKE CHANGES 功能修改該域名的注冊(cè)信息，包括擁有者信息，DNS 服務(wù)器信息等。

四、使用E-MAIL 收發(fā)確認(rèn)函：此時(shí)的攻擊者會(huì)在信件帳號(hào)的真正擁有者之前，截獲網(wǎng)絡(luò)公司回潰的網(wǎng)絡(luò)確認(rèn)注冊(cè)信息更改件，并進(jìn)行回件確認(rèn)，隨后網(wǎng)絡(luò)公司將再次回潰成攻修改信件，此時(shí)攻擊者成功劫持域名。 編輯本段域名劫持的缺點(diǎn)

它不是很穩(wěn)定，在某些網(wǎng)絡(luò)速度快的地方，真實(shí)的IP 地址返回得比竊持軟件提供的假地址要快，因?yàn)楸O(jiān)測(cè)和返回這么巨大的數(shù)據(jù)流量也是要花費(fèi)一定時(shí)間的。

在網(wǎng)上查詢域名的正確IP 非常容易。一個(gè)是利用海外的一些在線IP 地址查詢服務(wù)，可以查找到網(wǎng)站的真實(shí)IP 地址。在Google 上搜索"nslookup" ，會(huì)找到更多類似的服務(wù)。

參考資料：全球互聯(lián)網(wǎng)的13臺(tái)DNS 根服務(wù)器分布

美國(guó)VeriSign 公司 2臺(tái)

網(wǎng)絡(luò)管理組織IANA(Internet Assigned Number Authority) 1臺(tái) 歐洲網(wǎng)絡(luò)管理組織RIPE-NCC(Resource IP Europeens Network Coordination Centre) 1臺(tái)

美國(guó)PSINet 公司 1臺(tái)

美國(guó)ISI(Information Sciences Institute) 1臺(tái)

美國(guó)ISC(Internet Software Consortium) 1臺(tái)

美國(guó)馬里蘭大學(xué)(University of Maryland) 1臺(tái)

美國(guó)太空總署(NASA) 1臺(tái)

美國(guó)國(guó)防部 1臺(tái)

美國(guó)陸軍研究所 1臺(tái)

挪威NORDUnet 1臺(tái)

日本W(wǎng)IDE(Widely Integrated Distributed Environments)研究計(jì)劃 1臺(tái)

編輯本段破解困境

問題根源

DNS 安全問題的根源在于Berkeley Internet Domain (BIND)。BIND 充斥著過去5年廣泛報(bào)道的各種安全問題。VeriSign 公司首席安全官Ken

Silva 說，如果您使用基于BIND 的DNS 服務(wù)器，那么請(qǐng)按照DNS 管理的最佳慣例去做。

應(yīng)對(duì)措施分析

SANS 首席研究官Johannes 認(rèn)為：“目前的DNS 存在一些根本的問題，最主要的一點(diǎn)措施就是堅(jiān)持不懈地修補(bǔ)DNS 服務(wù)器，使它保持最新狀態(tài)?！? Nominum 公司首席科學(xué)家、DNS 協(xié)議原作者Paul Mockapetris說，升級(jí)到BIND 9.2.5或?qū)崿F(xiàn)DNSSec ，將消除緩存投毒的風(fēng)險(xiǎn)。不過，如果沒有來自BlueCat Networks、Cisco 、F5 Networks、Lucent 和Nortel 等廠商的DNS 管理設(shè)備中提供的接口，完成這類遷移非常困難和耗費(fèi)時(shí)間。一些公司，如Hushmail ，選擇了用開放源代碼TinyDNS 代替BIND 。替代DNS 的軟件選擇包括來自Microsoft 、PowerDNS 、JH Software以及其他廠商的產(chǎn)品。

建議

不管您使用哪種DNS ，請(qǐng)遵循以下最佳慣例：

1．在不同的網(wǎng)絡(luò)上運(yùn)行分離的域名服務(wù)器來取得冗余性。

2．將外部和內(nèi)部域名服務(wù)器分開（物理上分開或運(yùn)行BIND Views ）并使用轉(zhuǎn)發(fā)器（forwarders ）。外部域名服務(wù)器應(yīng)當(dāng)接受來自幾乎任何地址的查詢，但是轉(zhuǎn)發(fā)器則不接受。它們應(yīng)當(dāng)被配置為只接受來自內(nèi)部地址的查詢。關(guān)閉外部域名服務(wù)器上的遞歸功能（從根服務(wù)器開始向下定位DNS 記錄的過程）。這可以限制哪些DNS 服務(wù)器與Internet 聯(lián)系。

3． 可能時(shí)，限制動(dòng)態(tài)DNS 更新。

4． 將區(qū)域傳送僅限制在授權(quán)的設(shè)備上。

5． 利用事務(wù)簽名對(duì)區(qū)域傳送和區(qū)域更新進(jìn)行數(shù)字簽名。

6． 隱藏運(yùn)行在服務(wù)器上的BIND 版本。

7． 刪除運(yùn)行在DNS 服務(wù)器上的不必要服務(wù)，如FTP 、telnet 和HTTP 。

8． 在網(wǎng)絡(luò)外圍和DNS 服務(wù)器上使用防火墻服務(wù)。將訪問限制在那些DNS 功能需要的端口/服務(wù)上。

讓注冊(cè)商承擔(dān)責(zé)任

域名劫持的問題從組織上著手解決也是重要的一環(huán)。不久前，有黑客詐騙客戶服務(wù)代表修改了Hushmail 的主域名服務(wù)器的IP 地址。對(duì)于此時(shí)，Hushmail 公司的CTO Brian Smith一直忿忿不已，黑客那么容易就欺騙了其域名注冊(cè)商的客戶服務(wù)代表，這的確令人惱火。

Smith 說：“這件事對(duì)于我們來說真正糟透了。我希望看到注冊(cè)商制定和公布更好的安全政策。但是，我找不出一家注冊(cè)商這樣做，自這件事發(fā)生后，我一直在尋找這樣的注冊(cè)商?！?/p> ,

Nominum 公司首席科學(xué)家、DNS 協(xié)議原作者Paul Mockapetris說，升級(jí)到BIND 9.2.5或?qū)崿F(xiàn)DNSSec ，將消除緩存投毒的風(fēng)險(xiǎn)。不過，如果沒有來自BlueCat Networks、Cisco 、F5 Networks、Lucent 和Nortel 等廠商的DNS 管理設(shè)備中提供的接口，完成這類遷移非常困難和耗費(fèi)時(shí)間。一些公司，如Hushmail ，選擇了用開放源代碼TinyDNS 代替BIND 。替代DNS 的軟件選擇包括來自Microsoft 、PowerDNS 、JH Software以及其他廠商的產(chǎn)品。

Panix 。com 總裁Alex Resin在因注冊(cè)商方面的問題，導(dǎo)致今年1月Panix 域名遭劫持時(shí)，也感受到了同樣強(qiáng)烈的不滿。首先，他的注冊(cè)商在沒有事先通知的情況下，將他的域名注冊(cè)賣給了一家轉(zhuǎn)銷商。然后，這家轉(zhuǎn)銷商又把域名轉(zhuǎn)移給了一個(gè)社會(huì)工程人員――同樣也沒有通知Resin 。 Resin 說：“域名系統(tǒng)需要系統(tǒng)的、根本的改革?，F(xiàn)在有很多的建議，但事情進(jìn)展的不夠快?！?/p>

等待市場(chǎng)需求和ICANN 領(lǐng)導(dǎo)階層迫使注冊(cè)商實(shí)行安全的轉(zhuǎn)移政策，還將需要長(zhǎng)時(shí)間。因此，Resin, Smith和ICANN 首席注冊(cè)商聯(lián)絡(luò)官Tim Cole提出了以下減少風(fēng)險(xiǎn)的建議：

1．要求您的注冊(cè)商拿出書面的、可執(zhí)行的政策聲明。將如果需要轉(zhuǎn)移域名的話，要求他們及時(shí)與您聯(lián)系的條款寫在書面文件中。

2．鎖定域名。這要求注冊(cè)商在得到解鎖的口令或其它身份信息后才允許轉(zhuǎn)移。

3． 使您保存在注冊(cè)商那里的正式聯(lián)系信息保持最新狀態(tài)。

4． 選擇提供24/7服務(wù)的注冊(cè)商，這樣他們可以在發(fā)生違規(guī)事件時(shí)迅速采取行動(dòng)。

5． 如果發(fā)生未經(jīng)授權(quán)的轉(zhuǎn)移，立即與有關(guān)注冊(cè)商聯(lián)系。

6． 如果您的問題沒有得到解決，去找您的域名注冊(cè)機(jī)構(gòu)（例如，VeriSign 負(fù)責(zé).com 和.net 的注冊(cè)）。

7． 如果您在拿回自己的域名時(shí)仍遇到問題，與ICANN 聯(lián)系

（transfersICANN。org ）。

8． 如果擁有一個(gè)大型域，那就像Google 那樣，成為自己的注冊(cè)商或者自己的轉(zhuǎn)銷商，利用TuCows 。com 的開放API, OpenSRS，來控制您的所有域名。

針對(duì)DNS 系統(tǒng)自身漏洞 PacketScout GenieProDNS系統(tǒng)應(yīng)對(duì)DNS 劫持和DNS 緩存中毒攻擊解決方法

一致性檢查

每個(gè)Geniepro 節(jié)點(diǎn)將自身的DNS 記錄發(fā)送給工作組內(nèi)其他節(jié)點(diǎn)請(qǐng)求一致性檢查

每個(gè)Geniepro 節(jié)點(diǎn)將自身的記錄與收到的記錄進(jìn)行比較

每個(gè)Geniepro 工作組的通信協(xié)調(diào)節(jié)點(diǎn)將獲得的DNS 記錄更新發(fā)送給其他組的通信協(xié)調(diào)節(jié)點(diǎn)請(qǐng)求一致性檢查 每個(gè)Genipro 工作組的通信協(xié)調(diào)節(jié)點(diǎn)向上一級(jí)DNS 服務(wù)器請(qǐng)求更新記錄并與收到的其他通信協(xié)調(diào)節(jié)點(diǎn)的記錄進(jìn)行比較 一致性仲裁 如果一致性檢查發(fā)現(xiàn)記錄不一致情況，則根據(jù)策略（少數(shù)服從多數(shù)、一票否決等）決定是否接受記錄的變化 根據(jù)結(jié)果，各Geniepro 節(jié)點(diǎn)將自身記錄進(jìn)行統(tǒng)一 通信協(xié)調(diào)節(jié)點(diǎn)選舉 選舉出的通信協(xié)調(diào)節(jié)點(diǎn)在任期內(nèi)具有更新組內(nèi)節(jié)點(diǎn)的權(quán)限 選舉過程滿足不可預(yù)測(cè)性和不可重復(fù)性 擴(kuò)展閱讀：

1

維基百科

開放分類：