域名劫持

http://baike.baidu.com/view/420825.htm
域名劫持是互联网攻击的一种方式，通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的地址而达到无法访问目标网站的目的。
域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。
　　域名解析（DNS）的基本原理是把网络地址（域名，以一个字符串的形式，比如 www。google。com）对应到真实的计算机能够识别的网络地址（IP地址，比如216.239.53.99 这样的形式），以便计算机能够进一步通信，传递网址和内容等。
　　由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
　　如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问http://www。google。com/ ，可以把访问改为http://216.239.53.99/ ，从而绕开域名劫持。
域名劫持的缺点

　　它不是很稳定，在某些网络速度快的地方，真实的IP地址返回得比窃持软件提供的假地址要快，因为监测和返回这么巨大的数据流量也是要花费一定时间的。
　　在网上查询域名的正确IP非常容易。一个是利用海外的一些在线IP地址查询服务，可以查找到网站的真实IP地址。在Google上搜索"nslookup"，会找到更多类似的服务。
　　参考资料：全球互联网的13台DNS根服务器分布
　　美国VeriSign公司　2台
　　网络管理组织IANA(Internet Assigned Number Authority)　1台
　　欧洲网络管理组织RIPE-NCC(Resource IP Europeens Network Coordination Centre)　1台
　　美国PSINet公司　1台
　　美国ISI(Information Sciences Institute)　1台
　　美国ISC(Internet Software Consortium)　1台
　　美国马里兰大学(University of Maryland)　1台
　　美国太空总署(NASA)　1台
　　美国国防部　1台
　　美国陆军研究所　1台
　　挪威NORDUnet　1台
　　日本WIDE(Widely Integrated Distributed Environments)研究计划　1台
编辑本段
破解困境

问题根源
　　DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说，如果您使用基于BIND的DNS服务器，那么请按照DNS管理的最佳惯例去做。
应对措施分析
　　SANS首席研究官Johannes认为：“目前的DNS存在一些根本的问题，最主要的一点措施就是坚持不懈地修补DNS服务器，使它保持最新状态。”
　　Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说，升级到BIND 9.2.5或实现DNSSec，将消除缓存投毒的风险。不过，如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口，完成这类迁移非常困难和耗费时间。一些公司，如Hushmail，选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
建议
　　不管您使用哪种DNS，请遵循以下最佳惯例：
　　1．在不同的网络上运行分离的域名服务器来取得冗余性。
　　2．将外部和内部域名服务器分开（物理上分开或运行BIND Views）并使用转发器（forwarders）。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能（从根服务器开始向下定位DNS记录的过程）。这可以限制哪些DNS服务器与Internet联系。
　　3． 可能时，限制动态DNS更新。
　　4． 将区域传送仅限制在授权的设备上。
　　5． 利用事务签名对区域传送和区域更新进行数字签名。
　　6． 隐藏运行在服务器上的BIND版本。
　　7． 删除运行在DNS服务器上的不必要服务，如FTP、telnet和HTTP。
　　8． 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
　　让注册商承担责任
　　域名劫持的问题从组织上着手解决也是重要的一环。不久前，有黑客骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时，Hushmail公司的CTO Brian Smith一直忿忿不已，黑客那么容易就欺骗了其域名注册商的客户服务代表，这的确令人恼火。
　　Smith说：“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是，我找不出一家注册商这样做，自这件事发生后，我一直在寻找这样的注册商。”
　　Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说，升级到BIND 9.2.5或实现DNSSec，将消除缓存投毒的风险。不过，如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口，完成这类迁移非常困难和耗费时间。一些公司，如Hushmail，选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
　　Panix。com总裁Alex Resin在因注册商方面的问题，导致今年1月Panix域名遭劫持时，也感受到了同样强烈的不满。首先，他的注册商在没有事先通知的情况下，将他的域名注册卖给了一家转销商。然后，这家转销商又把域名转移给了一个社会工程人员――同样也没有通知Resin。
　　Resin说：“域名系统需要系统的、根本的改革。现在有很多的建议，但事情进展的不够快。”
　　等待市场需求和ICANN领导阶层迫使注册商实行安全的转移政策，还将需要长时间。因此，Resin, Smith和ICANN首席注册商联络官Tim Cole提出了以下减少风险的建议：
　　1．要求您的注册商拿出书面的、可执行的政策声明。将如果需要转移域名的话，要求他们及时与您联系的条款写在书面文件中。
　　2．锁定域名。这要求注册商在得到解锁的口令或其它身份信息后才允许转移。
　　3． 使您保存在注册商那里的正式联系信息保持最新状态。
　　4． 选择提供24/7服务的注册商，这样他们可以在发生违规事件时迅速采取行动。
　　5． 如果发生未经授权的转移，立即与有关注册商联系。
　　6． 如果您的问题没有得到解决，去找您的域名注册机构（例如，VeriSign负责.com和.net的注册）。
　　7． 如果您在拿回自己的域名时仍遇到问题，与ICANN联系（transfers<at>ICANN。org）。
　　8． 如果拥有一个大型域，那就像Google那样，成为自己的注册商或者自己的转销商，利用TuCows。com的开放API, OpenSRS，来控制您的所有域名。