域名劫持概述
域名劫持(Domain Hijacking)是指攻击者通过非法手段获取域名控制权,将域名解析指向恶意服务器。常见攻击方式包括:注册商账号入侵、DNS缓存投毒、BGP劫持、社工攻击获取转移码。
攻击方式详解
注册商账号入侵
攻击者通过钓鱼、撞库、社工等手段获取域名注册商的账号密码,然后修改域名DNS设置或发起域名转移。案例:2020年某知名公司域名被劫持,攻击者通过社工电话重置了注册商账号密码。
DNS缓存投毒
攻击者向DNS递归解析器发送伪造的DNS响应,使缓存中存储错误的解析记录。所有使用该递归解析器的用户都会被导向错误地址。Kaminsky攻击是经典的DNS投毒手法。
DNS劫持
ISP或中间网络设备篡改DNS查询结果。在部分地区,ISP会将不存在的域名重定向到广告页面。使用DNS over HTTPS(DoH)或DNS over TLS(DoT)可以防止此类劫持。
防护措施
- 注册商安全:启用两步验证、使用强密码、设置域名锁定(Registrar Lock + Registry Lock)
- DNSSEC:对DNS记录进行数字签名,防止缓存投毒和中间人篡改
- 域名监控:使用DomainTools/SecurityTrails监控域名WHOIS变更和DNS变更
- Registry Lock:向注册局申请额外锁定,修改DNS需要人工确认
- 备用DNS:配置多个DNS服务商,一个被攻击时自动切换
应急响应
发现域名被劫持后:立即联系注册商冻结域名 → 向注册局提交争议申请 → 修改所有相关账号密码 → 通过ICANN UDRP流程争回域名 → 排查入侵路径防止再次发生。