域名劫持

2001年10月下旬，传来一条惊人的消息，Adobe公司网站的域名遭到黑客的袭击， 一名至今仍未查出身份的黑客私自更改了adobe.com网站的域名记录，黑客把adobe.com网站的域名记录指向转移到了位于中国的ICANN授权注册商Paycenter公司。此外他还修改了该网站的域名联络信息以及服务器名称和网址。域名服务器的修改导致这一期间访问www.adobe.com网站的用户被引导到了Paycenter网站的首页。这次攻击使得人们不得不相信，域名也能被黑！

　　回忆163也曾遭此厄运

　　这次adobe.com网站被黑客袭击是最近一系列与网络解决方案公司有关的黑客事件之一。internet.com、nike.com以及exodus.net都受到过类似的攻击。这次的黑客攻击域名的事件不由得使人想起了前一段时间闹得满城风雨的163电子邮局瘫痪事件。今年3月13日，广州163电子邮局的众多用户发现无法进入163电子邮局。输入www.163.net后总是被引入一个写有“welcome to www.163.net”的页面，然后再也无法登录进入163电子邮局收发邮件。163电子邮局陷入了瘫痪状态，用户无法收发任何信件。经过分析后得出的原因是，163电子邮局的域名地址被人纂改而指向罗马尼亚的一个IP地址，导致用户无法正常对163电子邮局进行访问。

　　163电子邮局属于国际域名，其DNS解析是在美国设定的，由于国际域名管理机构已经开通支持直接在线地修改域名拥有者的DNS信息的服务，163电子邮局在InterNIC的记录显示其域名解析服务器于美国时间3月11日被改至NS06.GTE-HOSTING.NET，www.163.net的解析被改至208.55.45.195。

　　分析域名为什么会被黑
　　从互联网的技术要求看，要纂改一个网站的域名地址指向必须拥有对这一网站最高管理权限的密码。攻击者所使用的技术并不是以往所使用的入侵WEB服务器，更改主页的惯用手法，攻击者使用的是一种域名劫持攻击技术，攻击者通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录，将域名转让到另一团体，通过在修改后注册信息所指定的DNS服务器加进该域名记录，让原域名指向另一IP的服务器，通常那两台服务器都是攻击者预先入侵控制的服务器，并不归攻击者所拥有。对于域名地址的修改需要能使用原注册的管理员邮箱回复其发出的修改确认信后，方能完成修改注册信息的工作。因而163的DNS被篡改的最大可能就是其网管邮箱被盗用（如密码设置太简单，容易被破解）。

　　

　　那攻击者到底是怎样实施该域名劫持攻击的呢?

　　1.获得要劫持的域名注册信息

　　攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的MAKE CHANGES功能,输入要查询的域名,获得该域名注册信息以abc.com为例,我们将获得以下信息:
Registrant:
Capital Cities/ABC,Inc (ABC10-DOM)
77 W 66th St.
New York, NY 10023
US

Domain Name: ABC.COM

Administrative Contact, Billing Contact:
King, Thomas C. (SC3123-ORG) abc.legal.internet.registration@ABC.COM
ABC, Inc.
77 W 66th St.
New York, NY 10023
US
212-456-7012
Technical Contact, Zone Contact:
Domain Administrator (DA4894-ORG) dns-admin@STARWAVE.COM
Starwave Corporation
13810 SE Eastgate Way, ste. 400
Bellevue, WA 98005
US
206.664.4800
Fax- 206.664.4829

Record last updated on 11-Oct-2000.
Record expires on 23-May-2003.
Record created on 22-May-1996.
Database last updated on 20-Oct-2000 14:14:26 EDT.

Domain servers in listed order:

DNS1.STARWAVE.COM 204.202.132.51
T.NS.VERIO.NET 192.67.14.16

　　2.控制该管理域名的E-MAIL帐号

　　从上面获得的信息,攻击者可了解到abc.com的注册DNS服务器,管理域名的E-MAIL帐号,技术联系E-MAIL帐号等等注册资料,攻击者的重点就是先需要把该管理域名的E-MAIL帐号abc.legal.internet.registration@ABC.COM控制,进行收发在网络解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测,对该帐号所在E-MAIL服务器进行入侵攻击.

　　3.修改该域名在网络解决方案公司的注册信息

　　到这个时候，攻击者会使用网络解决方案公司networksolutions的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息，等等。

　　4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函

　　攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前，把该E-MAIL帐号的信件接收，使用该E-MAIL帐号回复网络解决方案公司进行确认，进行二次回复确认后，将收到网络解决方案公司发来的成功修改注册记录函，攻击者成功劫持域名。

　　5.在新指定的DNS服务器加进该域名记录

　　在注册信息新指定DNS服务器里加进该域名的PTR记录，指向另一IP的服务器，通常那两台服务器都是攻击者预先入侵控制的服务器，并不归攻击者所拥有。