域名劫持是指是互聯(lián)網(wǎng)攻擊的一種方式，通過攻擊域名解析服務(wù)器（DNS），或偽造域名解析服務(wù)器（DNS）的方法，把目標網(wǎng)站域名解析到錯誤的地址從而實現(xiàn)用戶無法訪問目標網(wǎng)站的目的。

　　域名解析（DNS）的基本原理是把網(wǎng)絡(luò)地址（域名，以一個字符串的形式）對應到真實的計算機能夠識別的網(wǎng)絡(luò)地址（IP地址，比如216.239.53.99 這樣的形式），以便計算機能夠進一步通信，傳遞網(wǎng)址和內(nèi)容等。

　　由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址，高級用戶可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實現(xiàn)對網(wǎng)址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

　　如果知道該域名的真實IP地址，則可以直接用此IP代替域名后進行訪問。比如訪問谷歌 ，可以把訪問改為http://216.239.53.99/ ，從而繞開域名劫持。

　　由于域名劫持只能在特定的網(wǎng)絡(luò)范圍內(nèi)進行，所以范圍外的域名服務(wù)器(DNS)能返回正常IP地址。攻擊者正是利用此點在范圍內(nèi)封鎖正常DNS的IP地址，使用域名劫持技術(shù)，通過冒充原域名以E-MAIL方式修改公司的注冊域名記錄，或?qū)⒂蛎D(zhuǎn)讓到其他組織，通過修改注冊信息后在所指定的DNS服務(wù)器加進該域名記錄，讓原域名指向另一IP的服務(wù)器，讓多數(shù)網(wǎng)民無法正確訪問，從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址，其實施步驟如下：

　　1、獲取劫持域名注冊信息：首先攻擊者會訪問域名查詢站點，通過MAKE CHANGES功能，輸入要查詢的域名以取得該域名注冊信息。

　　2、控制該域名的E-MAIL帳號：此時攻擊者會利用社會工程學或暴力破解學進行該E-MAIL密碼破解，有能力的攻擊者將直接對該E-MAIL進行入侵行為，以獲取所需信息。

　　3、修改注冊信息：當攻擊者破獲了E-MAIL后，會利用相關(guān)的MAKE CHANGES功能修改該域名的注冊信息，包括擁有者信息，DNS服務(wù)器信息等。

　　4、使用E-MAIL收發(fā)確認函：此時的攻擊者會在信件帳號的真正擁有者之前，截獲網(wǎng)絡(luò)公司回饋的網(wǎng)絡(luò)確認注冊信息更改件，并進行回件確認，隨后網(wǎng)絡(luò)公司將再次回饋成功修改信件，此時攻擊者成功劫持域名。

　　不管使用哪種DNS，遵循以下最佳慣例：

　　1、在不同的網(wǎng)絡(luò)上運行分離的域名服務(wù)器來取得冗余性。

　　2、將外部和內(nèi)部域名服務(wù)器分開（物理上分開或運行BIND Views）并使用轉(zhuǎn)發(fā)器（forwarders）。外部域名服務(wù)器應當接受來自幾乎任何地址的查詢，但是轉(zhuǎn)發(fā)器則不接受。它們應當被配置為只接受來自內(nèi)部地址的查詢。關(guān)閉外部域名服務(wù)器上的遞歸功能（從根服務(wù)器開始向下定位DNS記錄的過程）。這可以限制哪些DNS服務(wù)器與Internet聯(lián)系。

　　3、可能時，限制動態(tài)DNS更新。

　　4、將區(qū)域傳送僅限制在授權(quán)的設(shè)備上。

　　5、利用事務(wù)簽名對區(qū)域傳送和區(qū)域更新進行數(shù)字簽名。

　　6、隱藏運行在服務(wù)器上的BIND版本。

　　7、刪除運行在DNS服務(wù)器上的不必要服務(wù)，如FTP、telnet和HTTP。

　　8、在網(wǎng)絡(luò)外圍和DNS服務(wù)器上使用防火墻服務(wù)。將訪問限制在那些DNS功能需要的端口/服務(wù)上。