定義

域名劫持就是在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，分析請(qǐng)求的域名，把審查范圍以外的請(qǐng)求放行，否則直接返回假的IP地址或者什么也不做使得請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)址不能訪問(wèn)或訪問(wèn)的是假網(wǎng)址。

 

域名劫持一方面可能影響用戶的上網(wǎng)體驗(yàn)，用戶被引到假冒的網(wǎng)站進(jìn)而無(wú)法正常瀏覽網(wǎng)頁(yè)，而用戶量較大的網(wǎng)站域名被劫持后惡劣影響會(huì)不斷擴(kuò)大；另一方面用戶可能被誘騙到冒牌網(wǎng)站進(jìn)行登錄等操作導(dǎo)致泄露隱私數(shù)據(jù)。

 

 

原理

域名解析（DNS）的基本原理是把網(wǎng)絡(luò)地址（域名，以一個(gè)字符串的形式）對(duì)應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址（IP地址），以便計(jì)算機(jī)能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。

 

由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器（DNS）能夠返回正常的IP地址，高級(jí)用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪問(wèn)。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

 

過(guò)程

由于域名劫持只能在特定的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以范圍外的域名服務(wù)器（DNS）能返回正常IP地址。攻擊者正是利用此點(diǎn)在范圍內(nèi)封鎖正常DNS的IP地址，使用域名劫持技術(shù)，通過(guò)冒充原域名以E-MAIL方式修改公司的注冊(cè)域名記錄，或?qū)⒂蛎�轉(zhuǎn)讓到其他組織，通過(guò)修改注冊(cè)信息后在所指定的DNS服務(wù)器加進(jìn)該域名記錄，讓原域名指向另一IP的服務(wù)器，讓多數(shù)網(wǎng)民無(wú)法正確訪問(wèn)，從而使得某些用戶直接訪問(wèn)到了惡意用戶所指定的域名地址，其實(shí)施步驟如下：

 

一、獲取劫持域名注冊(cè)信息：首先攻擊者會(huì)訪問(wèn)域名查詢站點(diǎn)，通過(guò)輸入要查詢的域名以取得該域名注冊(cè)信息。

 

二、控制該域名的E-MAIL賬號(hào)：此時(shí)攻擊者會(huì)利用社會(huì)工程學(xué)或暴力破解學(xué)進(jìn)行該E-MAIL密碼破解，有能力的攻擊者將直接對(duì)該E-MAIL進(jìn)行入侵行為，以獲取所需信息。

 

三、修改注冊(cè)信息：當(dāng)攻擊者破獲了E-MAIL后，會(huì)利用相關(guān)的功能修改該域名的注冊(cè)信息，包括擁有者信息，DNS服務(wù)器信息等。

 

四、使用E-MAIL收發(fā)確認(rèn)函：此時(shí)的攻擊者會(huì)在信件賬號(hào)的真正擁有者之前，截獲網(wǎng)絡(luò)公司回饋的網(wǎng)絡(luò)確認(rèn)注冊(cè)信息更改件，并進(jìn)行回件確認(rèn)，隨后網(wǎng)絡(luò)公司將再次回饋成功修改信件，此時(shí)攻擊者成功劫持域名。

 

 

劫持類型

一、DNS劫持

 

DNS劫持是一種惡意攻擊，其中，個(gè)人通過(guò)覆蓋計(jì)算機(jī)的傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP / IP)設(shè)置(通常通過(guò)修改服務(wù)器的設(shè)置)將查詢重定向到域名服務(wù)器。

 

二、http劫持

 

屬于常見(jiàn)的劫持，是目前廣泛被劫持域名最直接的。攻擊依賴于攻擊者對(duì)您的會(huì)話cookie的了解，因此也稱為cookie劫持或cookie側(cè)面劫持。盡管可以劫持任何計(jì)算機(jī)會(huì)話，但是會(huì)話劫持最常應(yīng)用于瀏覽器會(huì)話和Web應(yīng)用程序。攻擊者需要知道受害者的會(huì)話ID(會(huì)話密鑰)。這可以通過(guò)竊取會(huì)話cookie或說(shuō)服用戶單擊包含準(zhǔn)備好的會(huì)話ID的惡意鏈接來(lái)獲得。在這兩種情況下，在服務(wù)器上對(duì)用戶進(jìn)行身份驗(yàn)證之后，攻擊者都可以通過(guò)對(duì)自己的瀏覽器會(huì)話使用相同的會(huì)話ID來(lái)接管(劫持)會(huì)話。然后，將服務(wù)器欺騙，將攻擊者的鏈接視為原始用戶的有效會(huì)話。

 

三、地區(qū)網(wǎng)絡(luò)劫持、路由劫持

 

網(wǎng)絡(luò)路由節(jié)點(diǎn)或者地區(qū)線路劫持，通常表現(xiàn)在部分地區(qū)，或者是某個(gè)線路，比如：移動(dòng)、聯(lián)通、電信等產(chǎn)生的劫持。

 

四、注入劫持，攻擊劫持

 

通常網(wǎng)站采取的是asp、php、js等常見(jiàn)網(wǎng)站語(yǔ)言建設(shè)。主要發(fā)生在網(wǎng)站使用的服務(wù)器不安全，采用了比較古老的服務(wù)器環(huán)境，場(chǎng)景上擁有的環(huán)境非常低，很容易被別人攻擊，直接將代碼注入到網(wǎng)站。

 

五、DNS污染

 

其實(shí)屬于DNS劫持的一種，通常DNS位于國(guó)內(nèi)，被污染地域也在國(guó)內(nèi)。這種情況下的站點(diǎn)類型很多，一般緊急處理，建議暫停解析，更換DNS到其他平臺(tái)。

 

為了有效防護(hù)域名劫持，可以采取以下措施：

 

1.使用可靠的DNS服務(wù)器：選擇一個(gè)可靠的DNS服務(wù)器，避免使用由不明來(lái)源提供的DNS服務(wù)器。

 

2.定期更新系統(tǒng)和軟件：保持操作系統(tǒng)、瀏覽器以及安全軟件等的最新版本，及時(shí)修復(fù)漏洞。

 

3.使用HTTPS：使用HTTPS加密協(xié)議可以防止黑客竊取數(shù)據(jù)并修改傳輸內(nèi)容。

 

4.檢查域名解析：定期檢查域名解析是否被劫持，可通過(guò)命令行工具進(jìn)行檢測(cè)。

 

5.防止本地劫持：定期檢查本地hosts文件是否被篡改，確保其中沒(méi)有惡意的域名解析。

 

6.使用防護(hù)工具：可以使用一些專門的防護(hù)工具來(lái)檢測(cè)和防御域名劫持，如防火墻、反病毒軟件等。

 

7.加強(qiáng)賬戶安全：設(shè)置強(qiáng)密碼、啟用雙因素認(rèn)證等來(lái)保護(hù)域名注冊(cè)賬戶的安全，防止黑客通過(guò)竊取賬戶信息的方式進(jìn)行域名劫持。

 

 

 

8.接入SCDN，即安全內(nèi)容分發(fā)網(wǎng)絡(luò)：SCDN是在CDN的基礎(chǔ)上增加了安全防護(hù)功能的一種網(wǎng)絡(luò)服務(wù)。SCDN通過(guò)智能預(yù)判攻擊行為，能夠?qū)�DDoS攻擊請(qǐng)求切換至高防IP完成清洗，而真正用戶的請(qǐng)求則正常從加速節(jié)點(diǎn)獲取資源。此外，SCDN的分布式架構(gòu)還具備防CC攻擊的能力。這意味著SCDN不僅具備CDN的所有功能，而且還能夠在確保數(shù)據(jù)傳輸快速的同時(shí)提供強(qiáng)大的安全防護(hù)。主要的優(yōu)勢(shì)在于：

 

1.分布式架構(gòu)增強(qiáng)冗余和可用性

SCDN的分布式架構(gòu)意味著內(nèi)容被存儲(chǔ)在多個(gè)地理位置的服務(wù)器上，這種冗余性不僅提高了內(nèi)容的可用性和訪問(wèn)速度，還增強(qiáng)了系統(tǒng)的魯棒性。當(dāng)某個(gè)節(jié)點(diǎn)遭受攻擊或出現(xiàn)故障時(shí)，其他節(jié)點(diǎn)可以繼續(xù)提供服務(wù)，確保內(nèi)容的持續(xù)可用性。

 

2.緩存策略減少源站負(fù)載

SCDN節(jié)點(diǎn)可以緩存靜態(tài)和動(dòng)態(tài)內(nèi)容，當(dāng)用戶請(qǐng)求這些內(nèi)容時(shí)，可以直接從離用戶最近的節(jié)點(diǎn)獲取，而無(wú)需每次都從源站獲取。這種緩存策略不僅加速了內(nèi)容傳輸，還顯著減少了源站的負(fù)載，降低了源站遭受直接攻擊的風(fēng)險(xiǎn)。

 

3.流量清洗和DDoS防御

一些先進(jìn)的SCDN解決方案集成了流量清洗和DDoS防御功能。當(dāng)檢測(cè)到異常流量或攻擊行為時(shí)，SCDN可以自動(dòng)將流量重定向到清洗中心，去除惡意流量后再將正常流量轉(zhuǎn)發(fā)給源站。這種機(jī)制有效地保護(hù)了源站免受大規(guī)模DDoS攻擊的威脅。

 

4.SSL/TLS加密保障數(shù)據(jù)傳輸安全

SCDN通常支持SSL/TLS協(xié)議，可以對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，確保數(shù)據(jù)在傳輸過(guò)程中的安全性。這對(duì)于傳輸敏感信息（如用戶憑據(jù)、支付信息等）的網(wǎng)站和應(yīng)用至關(guān)重要。

 

5.Web應(yīng)用防火墻（WAF）集成

一些SCDN服務(wù)提供商還將Web應(yīng)用防火墻（WAF）與CDN集成，以提供對(duì)常見(jiàn)Web攻擊的防護(hù)，如SQL注入、跨站腳本（XSS）等。WAF可以實(shí)時(shí)分析和過(guò)濾HTTP/HTTPS流量，識(shí)別和攔截惡意請(qǐng)求，從而保護(hù)Web應(yīng)用免受攻擊。

 

6.訪問(wèn)控制和身份驗(yàn)證

SCDN還可以結(jié)合訪問(wèn)控制和身份驗(yàn)證機(jī)制，確保只有授權(quán)用戶才能訪問(wèn)特定內(nèi)容。這可以通過(guò)IP白名單、令牌驗(yàn)證、OAuth等機(jī)制實(shí)現(xiàn)，進(jìn)一步增強(qiáng)了內(nèi)容的安全性。

 

7.日志和監(jiān)控

SCDN通常提供詳細(xì)的日志記錄和實(shí)時(shí)監(jiān)控功能，使管理員能夠?qū)崟r(shí)了解網(wǎng)絡(luò)流量、攻擊嘗試和其他安全相關(guān)事件。這些日志可以用于安全審計(jì)、故障排除和合規(guī)性檢查。

 

總之，有效的防護(hù)域名劫持需要綜合使用多種措施，保持軟件和系統(tǒng)的更新，定期檢查域名解析情況，并加強(qiáng)賬戶和網(wǎng)絡(luò)安全。