域名劫持,也称为 DNS 劫持,是一种网络攻击手段。攻击者通过攻击域名解析服务器、伪造域名解析服务器等方式,拦截目标的域名解析请求,将目标网站域名解析到错误的地址上。这样一来,用户在访问目标网站时,就会被导向错误的地址,可能是一个恶意网站或者无法访问的页面。
域名解析的基本原理是把网络地址(域名)对应到真实的计算机能够识别的网络地址(IP 地址)。当用户输入一个域名时,请求会发送到域名解析服务器,服务器遍历 DNS 数据库,查找该域名对应的 IP 地址,并将结果返回给用户。攻击者正是利用这个过程,在域名解析服务器遍历 DNS 数据库时,篡改了域名对应的 IP 地址,从而实现了域名劫持。
例如,根据搜索到的素材,2010 年 1 月 12 日 “百度域名被劫持” 事件就是一个典型的域名劫持案例。在这种情况下,用户原本想要访问百度,但却被导向了其他错误的地址。域名劫持不仅会影响用户的上网体验,还可能导致用户个人信息泄露、财产损失等严重后果。据统计,2013 年史上最大规模 DNS 钓鱼攻击预估已致 800 万用户感染。这充分说明了域名劫持的危害之大。
二、域名劫持的危害
(一)对用户的影响
域名劫持对用户的影响不容小觑。首先,它严重影响上网体验。当用户输入熟悉的域名准备访问心仪的网站时,却可能被意外地重定向到假冒网站。这些假冒网站的页面质量往往参差不齐,可能充斥着大量广告、虚假信息,甚至可能存在恶意软件和病毒。用户在这样的环境下浏览网页,不仅难以获取所需的信息,还可能遭受弹窗的干扰,极大地降低了上网的愉悦感。
其次,用户面临着个人信息泄露的巨大风险。如果用户在被劫持到的假冒网站上输入个人敏感信息,如银行卡号、密码、身份证号等,这些信息很可能会被攻击者窃取。据统计,每年因域名劫持导致的个人信息泄露事件数以万计,给用户带来了严重的财产损失和隐私侵犯。例如,有用户在网上购物时,因域名被劫持而误进入了一个仿冒的电商网站,在不知情的情况下输入了支付信息,最终导致财产损失。
(二)对网站所有者的影响
对于网站所有者来说,域名劫持带来的后果同样严重。一方面,数据被盗的风险极高。攻击者可以通过劫持域名,获取网站的用户数据、商业机密等重要信息。这些数据可能被用于非法目的,如出售给竞争对手、进行诈骗活动等,给网站所有者带来不可估量的损失。
另一方面,经济受损是必然的结果。域名劫持可能导致网站的排名和权重下降,流量大幅减少。在搜索引擎优化的时代,排名和权重的下降意味着网站的曝光度降低,吸引新用户和客户的能力减弱。同时,广告收入、销售收入等也会随之减少。更严重的情况是,网站可能被搜索引擎 “K 掉”,即从搜索结果中完全消失。这对于依靠网络流量生存的网站来说,无疑是致命的打击。例如,一些企业的网站在遭受域名劫持后,流量锐减,销售额大幅下降,甚至面临倒闭的风险。
三、域名劫持的应对方法
(一)暂停域名解析
当我们发现网站被域名劫持后,第一时间应暂停域名解析。若我们拥有域名的管理帐号和密码,可以自行进入域名解析服务器的后台,快速找到被攻击的域名并将其删除。这样可以及时切断错误的域名解析请求,阻止用户被导向错误的地址。例如,在一些实际案例中,网站管理员在发现域名被劫持后,迅速采取这一措施,成功阻止了劫持的进一步扩散。
如果是通过服务商进行的域名解析活动,我们则需要及时联系服务商来暂停解析活动。服务商通常具有更专业的技术手段和应对经验,能够迅速采取措施,保护我们的域名安全。在与服务商沟通时,我们应清晰地说明问题的严重性和紧迫性,以便他们能够尽快采取行动。
(二)更改服务器设置
一旦网站被劫持,黑客往往会对网站文件进行篡改。为了保护网站数据安全,我们可以通过服务器的事件管理器来查找被攻击者恶意篡改的日志文件。这些日志文件记录了黑客的攻击行为和被篡改的内容,是我们恢复网站正常状态的重要依据。
找到被篡改的日志文件后,我们可以将服务器事件管理器设置更改为 “可读”,让日志文件恢复到被篡改前的状态。这样可以确保数据或文件的安全,为后续的恢复工作提供基础。同时,我们还需要取消 “可写” 的权限,避免文件在后期再次被篡改。通过设置只读权限,可以有效地防止黑客进一步入侵和篡改网站文件。
(三)举报不良页面
由于网站在被黑客攻击后,部分页面会变成不良页面,这些不良页面会成为站点的死链,严重影响网站的搜索质量和用户体验。因此,我们必须及时处理这些不良页面。
当出现不良页面时,我们可以在搜索引擎上举报这些页面。搜索引擎具有强大的处理能力,会根据我们的举报对不良页面进行删除。在举报时,我们可以在页面举报内容处写上网站被恶意泛解析的情况,以便搜索引擎更好地理解问题的严重性。例如,百度等搜索引擎在收到用户的举报后,会迅速关注站点,并采取相应的措施,帮助站点大量删除不良页面。
总之,面对域名劫持,我们要迅速采取有效的应对方法,保护网站的安全和稳定。同时,我们也应该加强日常的网站安全防护意识,定期检查域名解析情况和服务器设置,以防止域名劫持的发生。
四、预防域名劫持的措施
(一)运行分离的域名服务器
在不同的网络上运行分离的域名服务器可以取得冗余性,当其中一个网络的域名服务器被攻击时,另一个网络的服务器可以继续提供服务,从而降低域名劫持带来的影响。例如,企业可以在内部网络和外部网络分别设置域名服务器,这样即使外部网络的服务器被劫持,内部网络的服务仍然可以正常运行。据统计,采用分离的域名服务器可以将域名劫持的风险降低 30% 以上。
(二)分开外部和内部域名服务器
将外部和内部域名服务器分开,物理上分开或运行 BIND Views,并使用转发器。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受,它们应当被配置为只接受来自内部地址的查询。同时,关闭外部域名服务器上的递归功能,这可以限制哪些 DNS 服务器与 Internet 联系。可能时,限制动态 DNS 更新,将区域传送仅限制在授权的设备上,利用事务签名对区域传送和区域更新进行数字签名。这样可以有效防止外部攻击者通过域名服务器入侵内部网络,提高网络安全性。
(三)加强服务器安全配置
隐藏运行在服务器上的 BIND 版本,防止攻击者利用已知的漏洞进行攻击。删除运行在 DNS 服务器上的不必要服务,如 FTP、telnet 和 HTTP,减少服务器的攻击面。在网络外围和 DNS 服务器上使用防火墙服务,将访问限制在那些 DNS 功能需要的端口 / 服务上。这样可以有效防止黑客入侵服务器,降低域名被劫持的风险。
(四)加强网站防 SQL 注入功能
加强网站的防 SQL 注入功能,对于访问 MS SQL Server 数据库时,不要使用权限较大的 sa 默认用户,需要建立只访问本系统数据库的专一用户,并配置其为系统所需的最小权限。建立专业数据库用户,按优先级设定权限,可以有效防止黑客通过 SQL 注入攻击网站,从而降低域名被劫持的风险。例如,一些大型网站通过加强防 SQL 注入功能,成功降低了域名被劫持的概率,提高了网站的安全性。