域名劫持是互聯網攻擊的一種方式,通過攻擊域名解析服務器(DNS),或偽造域名解析服務器(DNS)的方法,把目標網站域名解析到錯誤的地址而達到無法訪問目標網站的目的。
域名劫持就是在劫持的網絡范圍內攔截域名解析的請求,分析請求的域名,把審查范圍以外的請求放行,否則直接返回假的IP地址或者什么也不做使得請求失去響應,其效果就是對特定的網址不能訪問或訪問的是假網址
原理
域名解析(DNS)的基本原理是把網絡地址(域名,以一個字符串的形式)對應到真實的計算機能夠識別的網絡地址(IP地址,比如216.239.53.99 這樣的形式),以便計算機能夠進一步通信,傳遞網址和內容等。
由于域名劫持往往只能在特定的被劫持的網絡范圍內進行,所以在此范圍外的域名服務器(DNS)能夠返回正常的IP地址,高級用戶可以在網絡設置把DNS指向這些正常的域名服務器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址,則可以直接用此IP代替域名后進行訪問。比如訪問谷歌 ,可以把訪問改為http://216.239.53.99/ ,從而繞開域名劫持。
過程
由于域名劫持只能在特定的網絡范圍內進行,所以范圍外的域名服務器(DNS)能返回正常IP地址。攻擊者正是利用此點在范圍內封鎖正常DNS的IP地址,使用域名劫持技術,通過冒充原域名以E-MAIL方式修改公司的注冊域名記錄,或將域名轉讓到其他組織,通過修改注冊信息后在所指定的DNS服務器加進該域名記錄,讓原域名指向另一IP的服務器,讓多數網民無法正確訪問,從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址,其實施步驟如下:
一、獲取劫持域名注冊信息:首先攻擊者會訪問域名查詢站點,通過MAKE CHANGES功能,輸入要查詢的域名以取得該域名注冊信息。
二、控制該域名的E-MAIL帳號:此時攻擊者會利用社會工程學或暴力破解學進行該E-MAIL密碼破解,有能力的攻擊者將直接對該E-MAIL進行入侵行為,以獲取所需信息。
三、修改注冊信息:當攻擊者破獲了E-MAIL后,會利用相關的MAKE CHANGES功能修改該域名的注冊信息,包括擁有者信息,DNS服務器信息等。
四、使用E-MAIL收發確認函:此時的攻擊者會在信件帳號的真正擁有者之前,截獲網絡公司回潰的網絡確認注冊信息更改件,并進行回件確認,隨后網絡公司將再次回潰成攻修改信件,此時攻擊者成功劫持域名。
缺點
它不是很穩定,在某些網絡速度快的地方,真實的IP地址返回得比竊持軟件提供的假地址要快,因為監測和返回這么巨大的數據流量也是要花費一定時間的。
在網上查詢域名的正確IP非常容易。一個是利用海外的一些在線IP地址查詢服務,可以查找到網站的真實IP地址。在Google上搜索"nslookup",會找到更多類似的服務。
參考資料:全球互聯網的13臺DNS根服務器分布
美國VeriSign公司 2臺
網絡管理組織IANA(Internet Assigned Number Authority) 1臺
歐洲網絡管理組織RIPE-NCC(Resource IP Europeens Network Coordination Centre) 1臺
美國PSINet公司 1臺
美國ISI(Information Sciences Institute) 1臺
美國ISC(Internet Software Consortium) 1臺
美國馬里蘭大學(University of Maryland) 1臺
美國太空總署(NASA) 1臺
美國國防部 1臺
美國陸軍研究所 1臺
挪威NORDUnet 1臺
日本WIDE(Widely Integrated Distributed Environments)研究計劃 1臺
