由于域名劫持只能在特定的網絡范圍內進行,所以范圍外的域名服務器(DNS)能返回正常IP地址。攻擊者正是利用此點在范圍內封鎖正常DNS的IP地址,使用域名劫持技術,通過冒充原域名以E-MAIL方式修改公司的注冊域名記錄,或將域名轉讓到其他組織,通過修改注冊信息后在所指定的DNS服務器加進該域名記錄,讓原域名指向另一IP的服務器,讓多數網民無法正確訪問,從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址,其實施步驟如下:
一、獲取劫持域名注冊信息:首先攻擊者會訪問域名查詢站點,通過MAKE CHANGES功能,輸入要查詢的域名以取得該域名注冊信息。
二、控制該域名的E-MAIL帳號:此時攻擊者會利用社會工程學或暴力破解學進行該E-MAIL密碼破解,有能力的攻擊者將直接對該E-MAIL進行入侵行為,以獲取所需信息。
三、修改注冊信息:當攻擊者破獲了E-MAIL后,會利用相關的MAKE CHANGES功能修改該域名的注冊信息,包括擁有者信息,DNS服務器信息等。
四、使用E-MAIL收發確認函:此時的攻擊者會在信件帳號的真正擁有者之前,截獲網絡公司回潰的網絡確認注冊信息更改件,并進行回件確認,隨后網絡公司將再次回潰成攻修改信件,此時攻擊者成功劫持域名。
關注北京中萬網絡公司,獲取更多有關網站建設和域名等相關資訊。
