域名劫持

域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。

遭遇域名劫持的安全卫士360

      域名解析（DNS）的基本原理是把网络地址（域名，以一个字符串的形式，比如 http://www.google.com/）对应到真实的计算机能够识别的网络地址（IP地址，比如216.239.53.99 这样的形式），以便计算机能够进一步通信，传递网址和内容等。
      由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
      如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问http://www.google.com/ ，可以把访问改为http://216.239.53.99/ ，从而绕开域名劫持。

       由于域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能还回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网名无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址，其实施步骤如下：
　　一、获取劫持域名注册信息：首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。
　　二、控制该域名的E-MAIL帐号：此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。
　　三、修改注册信息：当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。
       四、使用E-MAIL收发确认函：此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回溃的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回溃成攻修改信件，此时攻击者成功劫持域名。

      你有没有遭遇过这样的情况？当你在浏览器中输入正确的URL地址，但是打开的并不是你想要去的网站。或者是114的查询页面，或者是互联星空的网站，或者一个广告页面，或者是一个刷流量的页面，甚至是一个挂马的网站。这样的话，极有可能你遭遇了DNS欺骗。最近闹得沸沸扬扬的“百度被黑”事件，本质上就是来自黑客对DNS的篡改。下面我们就来解析一下DNS的知识
我们以百度被黑为例，看看正常的DNS请求和被劫持的DNS请求的不同
1、正常的DNS请求流程为：
（1）在浏览器输入http://www.baidu.com/;
（2）计算机将会向DNS服务器发出请求;
（3）DNS服务器进行处理分析得到http://www.baidu.com/的相应地址为119.xxx.209.xxx;
（4）DNS将把次IP地址119.xxx.209.xxx返回到发出请求的计算机;
（5）你正常登录到http://www.baidu.com/的网站。
2、被DNS欺骗以后的DNS请求为：
（1）在浏览器输入http://www.baidu.com/;
（2）计算机将会向DNS服务器发出请求（这里注意：实际上你发起的请求被发送到了攻击者那里）;
（3）攻击者对请求处理进行伪造DNS回复报告，返回给计算机的是攻击者指定的IP地址;
（4）你登录到的网站实际上不是http://www.baidu.com/，而是掉进了攻击者设计好的“陷阱网站”。
下面配图讲解百度域名劫持的过程

1.黑客刺探baidu.com 域名服务商
2.黑客入侵register.com www服务器
3.黑客通过register.com 域名管理功能修改百度DNS
4.register.com DNS服务器更新缓存指向伊朗黑客WEB网站IP
5.同步register.com DNS服务器更新百度DNS记录缓存
6.百度被黑，我用谷歌搜索“百度不知道自己被黑”

    它不是很稳定，在某些网络速度快的地方，真实的IP地址返回得比窃持软件提供的假地址要快，因为监测和返回这么巨大的数据流量也是要花费一定时间的。
　　在网上查询域名的正确IP非常容易。一个是利用海外的一些在线IP地址查询服务，可以查找到网站的真实IP地址。在Google上搜索"nslookup"，会找到更多类似的服务。
　　参考资料：全球互联网的13台DNS根服务器分布
　　美国VeriSign公司　2台
　　网络管理组织IANA(Internet Assigned Number Authority)　1台
　　欧洲网络管理组织RIPE-NCC(Resource IP Europeens Network Coordination Centre)　1台
　　美国PSINet公司　1台
　　美国 ISI(Information Sciences Institute)　1台
　　美国ISC(Internet Software Consortium)　1台
　　美国马里兰大学(University of Maryland)　1台
　　美国太空总署 (NASA)　1台
　　美国国防部　1台
　　美国陆军研究所　1台
　　挪威NORDUnet　1台
　　日本 WIDE(Widely Integrated Distributed Environments)研究计划　1台

百度域名遭劫持 被强制指向伊朗网军

2010-01-12 9:04 来源：易名中国 作者：唐小宁 
       易名中国（1月12日）消息，据悉，今日7时许，百度出现访问中断故障，一个多小时后，百度页面曾强制指向伊朗网军页面，查询百度域名的WHOIS信息得知，该域名数据曾被不断刷新中。
      据详细WHOIS信息得知，目前Baidu.com的DNS服务器被更换，同时主域名已经被解析到一个荷兰的IP，并且访问百度旗下子域名会被跳转到雅虎的错误页面，WHOIS数据也正在不断被刷新中，目前问题并未解决，百度也并没有对此发表回应。

baidu.com域名WHOIS信息

12日8时，有网友曾经被定向到一个黑页“Iranian Cyber Army”上，域名被盗取或劫持的可能性相当大，不过百度如此大的请求数量是任何一个黑页服务器也无法抵御的，因此只能是访问失败。

8:36分更新图片

此外，百度DNS数据已经被改回，但WHOIS数据依然没有刷新，在8:36时，访问百度域名，被强制指向伊朗网军的页面，此次域名被劫持已经成为事实。相关网友表示，百度此次被攻击和twitter上次域名被转向有着惊人的相似。
    截止发稿日期，部分网友反映百度网站已经可以访问。

     简单来说，域名劫持就是把原本准备访问某网站的用户，在不知不觉中，劫持到仿冒的网站上，例如用户准备访问某家知名品牌的网上商店，黑客就可以通过域名劫持的手段，把其带到假的网上商店，同时收集用户的ID信息和密码等。 这种犯罪一般是通过DNS服务器的缓存投毒(cachepoisoning)或域名劫持来实现的。

　　 跟踪域名劫持事件的统计数据目前还没有。不过，反网页欺诈工作组(APWG)认为，这一问题已经相当严重，该工作组已经把域名劫持归到近期工作的重点任务之中。专家们说，缓存投毒和域名劫持问题早已经引起了相关机构的重视，而且，随着在线品牌的不断增多，营业额的不断增大，这一问题也更加突出，人们有理由担心，骗子不久将利用这种黑客技术欺骗大量用户，从而获取珍贵的个人信息，引起在线市场的混乱。虽然，域名劫持在技术上和组织上解决起来十分复杂。但是在目前情况下，我们还是可以采取一些措施，来保护企业的DNS服务器和域名不被域名骗子所操纵。

建议　

不管您使用哪种DNS，请遵循以下最佳惯例：
　　1．在不同的网络上运行分离的域名服务器来取得冗余性。
　　2．将外部和内部域名服务器分开（物理上分开或运行BIND Views）并使用转发器（forwarders）。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能（从根服务器开始向下定位DNS记录的过程）。这可以限制哪些DNS服务器与Internet联系。
　　3． 可能时，限制动态DNS更新。
　　4． 将区域传送仅限制在授权的设备上。
　　5． 利用事务签名对区域传送和区域更新进行数字签名。
　　6． 隐藏运行在服务器上的BIND版本。
　　7． 删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP。
　　8． 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。

减少风险的建议：

　　1．要求您的注册商拿出书面的、可执行的政策声明。将如果需要转移域名的话，要求他们及时与您联系的条款写在书面文件中。

　　2．锁定域名。这要求注册商在得到解锁的口令或其它身份信息后才允许转移。

　　3． 使您保存在注册商那里的正式联系信息保持最新状态。

　　4． 选择提供24/7服务的注册商，这样他们可以在发生违规事件时迅速采取行动。

　　5． 如果发生未经授权的转移，立即与有关注册商联系。

　　6． 如果您的问题没有得到解决，去找您的域名注册机构（例如，VeriSign负责.com和.net的注册）。

　　7． 如果您在拿回自己的域名时仍遇到问题，与ICANN联系（transfers@ICANN.org）。

　　8． 如果拥有一个大型域，那就像Google那样，成为自己的注册商或者自己的转销商，利用TuCows.com的开放API, OpenSRS，来控制您的所有域名

   不甚乐观 中国已成为网络安宁重灾区 占有关统计数据显现，3亿多中国网民越来越多地在网络平台上营业，黑客们也在网络上布下"黑洞"吞噬财帛。一个基于网络的地下玄色物业链已逐渐形成，中国互联网用户每年由于网络安宁缝隙被"黑掉"的财帛竟然高达76亿！今朝，中国已经成为环球僵尸电脑最多的国度，沦为网络安宁的重灾区。

   是什么使得使黑客反复得惩？那一般网民应该要注意什么？大型网站又应该奈何加以防备呢？360公司网络安宁专家石晓红以为，对网民来说，最重要的是要增强上彀的安宁认识，可能对呆板里的缝隙举行准时的扫描和打补丁，始末安宁软件举行防护。对网站来说，一个是自身网站步骤的编写要有安宁认识，去测试。供职器自己的缝隙也要通常打补丁。宣部副部长、中国互联网协会照料蔡名照在旧金山举行的第三届中美互联网论坛上说，天下列国国情千差万别，环球的网络安宁，不大概用一个准则来权衡，用一个执法来楷模，用一个模式来治理。应充足明白和尊重列国国情的分别性、网络文化的分别性和网络安宁关怀的分别性，在多样中求共鸣，在分别中求融洽，协同推动互联网的繁荣和成长。