域名是如何被“劫持”的

发表于:2007-06-30来源:作者:点击数: 标签:
10月下旬,传来一条惊人的消息,Adobe公司网站的域名遭到黑客的袭击, 一名至今仍未查出身份的黑客私自更改了adobe.com网站的域名记录,黑客把adobe.com网站的域名记录指向转移到了位于中国的ICANN授权注册商Paycenter公司。此外他还修改了该网站的域名联络
10月下旬,传来一条惊人的消息,Adobe公司网站的域名遭到黑客的袭击, 一名至今仍未查出身份的黑客私自更改了adobe.com网站的域名记录,黑客把adobe.com网站的域名记录指向转移到了位于中国的ICANN授权注册商Paycenter公司。此外他还修改了该网站的域名联络信息以及服务器名称和网址。域名服务器的修改导致这一期间访问www.adobe.com网站的用户被引导到了Paycenter网站的首页。这次攻击使得人们不得不相信,域名也能被黑!

  回忆163也曾遭此厄运
  这次adobe.com网站被黑客袭击是最近一系列与网络解决方案公司有关的黑客事件之一。inte.net.com、nike.com以及exodus.net都受到过类似的攻击。这次的黑客攻击域名的事件不由得使人想起了前一段时间闹得满城风雨的163电子邮局瘫痪事件。今年3月13日,广州163电子邮局的众多用户发现无法进入163电子邮局。输入www.163.net后总是被引入一个写有“welcome to www.163.net”的页面,然后再也无法登录进入163电子邮局收发邮件。163电子邮局陷入了瘫痪状态,用户无法收发任何信件。经过分析后得出的原因是,163电子邮局的域名地址被人纂改而指向罗马尼亚的一个IP地址,导致用户无法正常对163电子邮局进行访问。

  163电子邮局属于国际域名,其DNS解析是在美国设定的,由于国际域名管理机构已经开通支持直接在线地修改域名拥有者的DNS信息的服务,163电子邮局在InterNIC的记录显示其域名解析服务器于美国时间3月11日被改至NS06.GTE-HOSTING.NET,www.163.net的解析被改至208.55.45.195。

  分析域名为什么会被黑
  从互联网的技术要求看,要纂改一个网站的域名地址指向必须拥有对这一网站最高管理权限的密码。攻击者所使用的技术并不是以往所使用的入侵WEB服务器,更改主页的惯用手法,攻击者使用的是一种域名劫持攻击技术,攻击者通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录,将域名转让到另一团体,通过在修改后注册信息所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。对于域名地址的修改需要能使用原注册的管理员邮箱回复其发出的修改确认信后,方能完成修改注册信息的工作。因而163的DNS被篡改的最大可能就是其网管邮箱被盗用(如密码设置太简单,容易被破解)。

  探究黑客是怎样得逞的
  黑客对于公司域名的攻击有着这样的过程:

  首先要获得要被攻击域名的注册信息,黑客会先访问网络解决方案公司如NSI公司的网站:www.networksolutions.com,通过该公司主页面所提供的功能,输入该公司的域名,获得该域名注册信息,得到管理域名的E-MAIL账号。然后紧接着是企图控制该管理域名的E-Mail账号,黑客可以通对该E-Mail账号进行基于工具的暴力破解或者字典猜测后, 攻破管理域名的E-Mail账号abc.legal. internet.registration@ABC.COM,使用networksolutions公司主页上提供的修改域名信息的功能修改该域名的注册信息,包括拥有者信息、DNS服务器信息等等。并通过管理邮件账号接收到networksolutions公司修改域名注册记录后的确认E-MAIL,并对该信进行回复确认修改过程,进行二次回复确认后,将收到成功修改域名注册记录的通知信件,达到了对域名修改的目的。

原文转自:http://www.ltesting.net