域名更改注册信息流程_域名劫持攻击讲解

感谢作者提交给我们

近期发现，、、、等知名网站相继遭到攻击。但攻击者所采用的技术并非是入侵网站服务器、更改主页的惯用手法，攻击者采用的是域名劫持攻击，攻击者伪装成原域名拥有者通过电子邮件修改注册域名记录，将域名转移至其他组，并将域名记录添加到修改后的注册信息中指定的DNS服务器中，让原域名指向其他IP服务器。通常，这两台服务器都是攻击者预先入侵控制的，并不属于攻击者所有。

那么攻击者是如何实施域名劫持攻击的呢？

1. 获取域名注册信息被劫持

攻击者首先会访问并输入通过该公司首页提供的更改功能查询到的域名，以域名注册信息为例，我们会得到如下的内容信息：

：

/ABC,Inc (ABC10-DOM)

西 66 街 77 号

纽约，NY 10023

我们

名称：ABC.COM

，：

King, C. (-ORG) abc.legal..@ABC.COM

ABC 公司

西 66 街 77 号

纽约，NY 10023

我们

212-456-7012

，區域：

（-ORG）dns-admin@.COM

13810 SE Way，第 400 室

, 华盛顿州 98005

我们

206.664.4800

传真- 206.664.4829

最后一次是在 2000 年 10 月 11 日。

于2003年5月23日。

1996年5月22日。

最后更新时间为 2000 年 10 月 20 日 14:14:26 EDT。

为了：

DNS1...202.132.51

T.NS.VERIO..67.14.16

2. 控制停放域名的电子邮件帐户

从以上获取的信息，攻击者可以了解ABC COM注册的DNS服务器，域名管理的邮件账户，邮件账户相关的技术等，攻击者的重点是控制邮件账户ABC的域名@，并在NE中先收发邮件，主页修改域名注册记录后的邮件确认，控制过程中的邮件账户不排除攻击者暴力破解邮件账户密码，实施邮件账户入侵攻击

3.修改域名注册信息。

此时攻击者会利用网络解决方案的修改功能来修改域名注册信息，包括所有者信息、DNS服务器信息等。

4、作为该域名管理的邮箱账户的所有者。

在邮箱域名账户真正的拥有者收到 的确认信件之前，攻击者会收到该邮箱账户的信件，用该邮箱账户回复确认，在两次回复之后，就会收到一封成功的 .UL 信件，信件记录了攻击者已经成功劫持了该域名。

5.将域名添加到新指定的DNS服务器

将域名的PTR记录添加到新指定的DNS服务器进行注册信息，指向另外一个IP服务器。通常这两台服务器都是攻击者入侵前的服务器，并不属于攻击者。

匿名黑客组织——！