域名劫持的简介

域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。

步骤如下：

一、获取劫持域名注册信息：首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。
二、控制该域名的E-MAIL帐号：此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。
三、修改注册信息：当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。
四、使用E-MAIL收发确认函：此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回溃的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回溃成攻修改信件，此时攻击者成功劫持域名。

域名挟持
有新手可能不知道域名挟持是什么，小编简单介绍下。
域名劫持是互联网攻击的一种方式，通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。
域名挟持
有的人认为挟持域名就是修改DNS而已，实际上还有其他方法，就连百度也被挟持过。
挟持历史事件
2010年1月12日上午7点钟开始，中国最大中文搜索引擎“百度”遭到黑客攻击，长时间无法正常访问。主要表现为跳转到一雅虎出错页面、伊朗网军图片，出现“天外符号”等，范围涉及四川、福建、江苏、吉林、浙江、北京、广东等国内绝大部分省市。
2012年10月24日。社会化分享网站Diigo域名被盗，导致500万用户无法使用网站。
域名盗窃，也叫做域名劫持，不是新技术。早在2005年，SSAC报告就指出了多起域名劫持事件。域名劫持被定义为：从域名持有者获得非法域名的控制权
本文介绍了域名劫持的几种技术
有几种不同的劫持方法，1假扮域名注册人和域名注册商通信.2是伪造域名注册人在注册商处的账户信息，3.是伪造域名注册人的域名转移请求。4.是直接进行一次域名转移请求。5是修改域名的DNS记录
1．假扮域名注册人和域名注册商通信
这类域名盗窃包括使用伪造的传真，邮件等来修改域名注册信息，有时候，受害者公司的标识之类的也会用上。增加可信度。
当时一名域名劫持者使得注册服务提供商相信了他的身份，然后修改了该公司的域名管理员邮件信息。然后攻击者使用管理员邮件提交了密码重设请求。最后。攻击者登录域名服务商。修改密码。更改DNS记录,然后指向自己的服务器。
2．是伪造域名注册人在注册商处的账户信息
攻击者伪造域名注册人的邮件和注册商联系。然后卖掉域名或者是让买家相信自己就是域名管理员。然后可以获利
3．是伪造域名注册人的域名转移请求。
这类攻击通常是攻击者提交一个伪造的域名转让请求，来控制域名信息。
4．是直接进行一次域名转移请求
这类攻击有可能改dns，也有可能不改，如果不改的话。是很隐蔽的。但最终盗窃者的目的就是卖掉域名。
两个域名是由美国一家公司通过godaddy注册管理的。结果某一天，一个盗窃者使用该公司管理员的帐号密码登录到域名管理商，执行了转移请求。注意。他没有更改dns记录。域名在转移期间。一切服务都没有受到影响。
5．是修改域名的DNS记录
未经授权的DNS配置更改导致DNS欺骗攻击。（也称作DNS缓存投毒攻击）。这里。数据被存入域名服务器的缓存数据库里，域名会被解析成一个错误的ip，或是解析到另一个ip，典型的一次攻击是1997年EugeneKashpureff黑阔通过该方法重定向了InterNIC网站。
在黑客领域，域名挟持更多是用来挟持流量用的，不少大公司也被挟持过。
域名挟持
后来忍无可忍的六家互联网公司(今日头条、美团大众点评网、360、腾讯、微博、小米科技)共同发表联合声明：呼吁有关运营商严格打击流量劫持问题，重视互联网公司被流量劫持可能导致的严重后果。

域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。
域名劫持一方面可能影响用户的上网体验，用户被引到假冒的网站进而无法正常浏览网页，而用户量较大的网站域名被劫持后恶劣影响会不断扩大；另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。 域名解析（DNS）的基本原理是把网络地址（域名，以一个字符串的形式）对应到真实的计算机能够识别的网络地址（IP地址，比如216.239.53.99 这样的形式），以便计算机能够进一步通信，传递网址和内容等。
由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问谷歌 ，可以把访问改为http://216.239.53.99/ ，从而绕开域名劫持。 由于域名劫持只能在特定的网络范围内进行，所以范围外的域名服务器(DNS)能返回正常IP地址。攻击者正是利用此点在范围内封锁正常DNS的IP地址，使用域名劫持技术，通过冒充原域名以E-MAIL方式修改公司的注册域名记录，或将域名转让到其他组织，通过修改注册信息后在所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，让多数网民无法正确访问，从而使得某些用户直接访问到了恶意用户所指定的域名地址，其实施步骤如下：
一、获取劫持域名注册信息：首先攻击者会访问域名查询站点，通过MAKE CHANGES功能，输入要查询的域名以取得该域名注册信息。
二、控制该域名的E-MAIL帐号：此时攻击者会利用社会工程学或暴力破解学进行该E-MAIL密码破解，有能力的攻击者将直接对该E-MAIL进行入侵行为，以获取所需信息。
三、修改注册信息：当攻击者破获了E-MAIL后，会利用相关的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息等。
四、使用E-MAIL收发确认函：此时的攻击者会在信件帐号的真正拥有者之前，截获网络公司回馈的网络确认注册信息更改件，并进行回件确认，随后网络公司将再次回馈成功修改信件，此时攻击者成功劫持域名。 它不是很稳定，在某些网络速度快的地方，真实的IP地址返回得比窃持软件提供的假地址要快，因为监测和返回这么巨大的数据流量也是要花费一定时间的。
在网上查询域名的正确IP非常容易。一个是利用海外的一些在线IP地址查询服务，可以查找到网站的真实IP地址。在Google上搜索nslookup，会找到更多类似的服务。
参考资料：全球互联网的13台DNS根服务器分布
美国VeriSign公司　2台
网络管理组织IANA(Internet Assigned Number Authority)　1台
欧洲网络管理组织RIPE-NCC(Resource IP Europeens Network Coordination Centre)　1台
美国PSINet公司　1台
美国ISI(Information Sciences Institute)　1台
美国ISC(Internet Software Consortium)　1台
美国马里兰大学(University of Maryland)　1台
美国太空总署(NASA)　1台
美国国防部　1台
美国陆军研究所　1台
挪威NORDUnet　1台
日本WIDE(Widely Integrated Distributed Environments)研究计划　1台