域名劫持是指是互聯(lián)網(wǎng)攻擊的一種方式，通過(guò)攻擊域名解析服務(wù)器（DNS），或偽造域名解析服務(wù)器（DNS）的方法，把目標(biāo)網(wǎng)站域名解析到錯(cuò)誤的地址從而實(shí)現(xiàn)用戶(hù)無(wú)法訪問(wèn)目標(biāo)網(wǎng)站的目的。

　　域名解析（DNS）的基本原理是把網(wǎng)絡(luò)地址（域名，以一個(gè)字符串的形式）對(duì)應(yīng)到真實(shí)的計(jì)算機(jī)能夠識(shí)別的網(wǎng)絡(luò)地址（IP地址，比如216.239.53.99 這樣的形式），以便計(jì)算機(jī)能夠進(jìn)一步通信，傳遞網(wǎng)址和內(nèi)容等。

　　由于域名劫持往往只能在特定的被劫持的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以在此范圍外的域名服務(wù)器(DNS)能夠返回正常的IP地址，高級(jí)用戶(hù)可以在網(wǎng)絡(luò)設(shè)置把DNS指向這些正常的域名服務(wù)器以實(shí)現(xiàn)對(duì)網(wǎng)址的正常訪問(wèn)。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。

　　如果知道該域名的真實(shí)IP地址，則可以直接用此IP代替域名后進(jìn)行訪問(wèn)。比如訪問(wèn)谷歌 ，可以把訪問(wèn)改為http://216.239.53.99/ ，從而繞開(kāi)域名劫持。

　　由于域名劫持只能在特定的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以范圍外的域名服務(wù)器(DNS)能返回正常IP地址。攻擊者正是利用此點(diǎn)在范圍內(nèi)封鎖正常DNS的IP地址，使用域名劫持技術(shù)，通過(guò)冒充原域名以E-MAIL方式修改公司的注冊(cè)域名記錄，或?qū)⒂蛎D(zhuǎn)讓到其他組織，通過(guò)修改注冊(cè)信息后在所指定的DNS服務(wù)器加進(jìn)該域名記錄，讓原域名指向另一IP的服務(wù)器，讓多數(shù)網(wǎng)民無(wú)法正確訪問(wèn)，從而使得某些用戶(hù)直接訪問(wèn)到了惡意用戶(hù)所指定的域名地址，其實(shí)施步驟如下：

　　1、獲取劫持域名注冊(cè)信息：首先攻擊者會(huì)訪問(wèn)域名查詢(xún)站點(diǎn)，通過(guò)MAKE CHANGES功能，輸入要查詢(xún)的域名以取得該域名注冊(cè)信息。

　　2、控制該域名的E-MAIL帳號(hào)：此時(shí)攻擊者會(huì)利用社會(huì)工程學(xué)或暴力破解學(xué)進(jìn)行該E-MAIL密碼破解，有能力的攻擊者將直接對(duì)該E-MAIL進(jìn)行入侵行為，以獲取所需信息。

　　3、修改注冊(cè)信息：當(dāng)攻擊者破獲了E-MAIL后，會(huì)利用相關(guān)的MAKE CHANGES功能修改該域名的注冊(cè)信息，包括擁有者信息，DNS服務(wù)器信息等。

　　4、使用E-MAIL收發(fā)確認(rèn)函：此時(shí)的攻擊者會(huì)在信件帳號(hào)的真正擁有者之前，截獲網(wǎng)絡(luò)公司回饋的網(wǎng)絡(luò)確認(rèn)注冊(cè)信息更改件，并進(jìn)行回件確認(rèn)，隨后網(wǎng)絡(luò)公司將再次回饋成功修改信件，此時(shí)攻擊者成功劫持域名。

　　不管使用哪種DNS，遵循以下最佳慣例：

　　1、在不同的網(wǎng)絡(luò)上運(yùn)行分離的域名服務(wù)器來(lái)取得冗余性。

　　2、將外部和內(nèi)部域名服務(wù)器分開(kāi)（物理上分開(kāi)或運(yùn)行BIND Views）并使用轉(zhuǎn)發(fā)器（forwarders）。外部域名服務(wù)器應(yīng)當(dāng)接受來(lái)自幾乎任何地址的查詢(xún)，但是轉(zhuǎn)發(fā)器則不接受。它們應(yīng)當(dāng)被配置為只接受來(lái)自?xún)?nèi)部地址的查詢(xún)。關(guān)閉外部域名服務(wù)器上的遞歸功能（從根服務(wù)器開(kāi)始向下定位DNS記錄的過(guò)程）。這可以限制哪些DNS服務(wù)器與Internet聯(lián)系。

　　3、可能時(shí)，限制動(dòng)態(tài)DNS更新。

　　4、將區(qū)域傳送僅限制在授權(quán)的設(shè)備上。

　　5、利用事務(wù)簽名對(duì)區(qū)域傳送和區(qū)域更新進(jìn)行數(shù)字簽名。

　　6、隱藏運(yùn)行在服務(wù)器上的BIND版本。

　　7、刪除運(yùn)行在DNS服務(wù)器上的不必要服務(wù)，如FTP、telnet和HTTP。

　　8、在網(wǎng)絡(luò)外圍和DNS服務(wù)器上使用防火墻服務(wù)。將訪問(wèn)限制在那些DNS功能需要的端口/服務(wù)上。