域名劫持什么意思dns劫持如何解决

域名劫持是互联网攻击的一种方式，通过攻击域名解析服务器（DNS），或伪造域名解析服务器（DNS）的方法，把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址（网站）的目的。

曾经遭遇域名劫持的安全卫士360域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。

域名劫持一方面可能影响用户的上网体验，用户被引到假冒的网站进而无法正常浏览网页，而用户量较大的网站域名被劫持后恶劣影响会不断扩大；另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。

域名解析（DNS）的基本原理是把网络地址（域名，以一个字符串的形式）对应到真实的计算机能够识别的网络地址（IP地址，比如216.239.53.99这样的形式），以便计算机能够进一步通信，传递网址和内容等。

由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。

如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问谷歌，可以把访问改为AssignedNumberAuthority)1台

欧洲网络管理组织RIPE-NCC(ResourceIPEuropeensNetworkCoordinationCentre)1台

日本WIDE(WidelyIntegratedDistributedEnvironments)研究计划1台

DNS安全问题的根源在于Domain(BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官KenSilva说，如果您使用基于BIND的DNS服务器，那么请按照DNS管理的最佳惯例去做。

SANS首席研究官Johannes认为：“目前的DNS存在一些根本的问题，最主要的一点措施就是坚持不懈地修补DNS服务器，使它保持最新状态。”

Nominum公司首席科学家、DNS协议原作者PaulMockapetris说，升级到BIND9.2.5或实现DNSSec，将消除缓存投毒的风险。不过，如果没有来自BlueCatNetworks、Cisco、F5Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口，完成这类迁移非常困难和耗费时间。一些公司，如Hushmail，选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JHSoftware以及其他厂商的产品。

2．将外部和内部域名服务器分开（物理上分开或运行BINDViews）并使用转发器（forwarders）。外部域名服务器应当接受来自几乎任何地址的查询，但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能（从根服务器开始向下定位DNS记录的过程）。这可以限制哪些DNS服务器与联系。

8．在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。

域名劫持的问题从组织上着手解决也是重要的一环。不久前，有黑客诈骗客户服务代表修改了Hushmail的主域名服务器的IP地址。对于此时，Hushmail公司的CTOBrianSmith一直忿忿不已，黑客那么容易就欺骗了其域名注册商的客户服务代表，这的确令人恼火。

Smith说：“这件事对于我们来说真正糟透了。我希望看到注册商制定和公布更好的安全政策。但是，我找不出一家注册商这样做，自这件事发生后，我一直在寻找这样的注册商。”

Panix总裁AlexResin在因注册商方面的问题，导致1月Panix域名遭劫持时，也感受到了同样强烈的不满。首先，他的注册商在没有事先通知的情况下，将他的域名注册卖给了一家转销商。然后，这家转销商又把域名转移给了一个社会工程人员――同样也没有通知Resin。

Resin说：“域名系统需要系统的、根本的改革。现在有很多的建议，但事情进展的不够快。”

等待市场需求和ICANN领导阶层迫使注册商实行安全的转移政策，还将需要长时间。因此，Resin,Smith和ICANN首席注册商联络官TimCole提出了以下减少风险的建议：

6．如果您的问题没有得到解决，去找您的域名注册机构（例如，VeriSign负责和的注册）。

7．如果您在拿回自己的域名时仍遇到问题，与ICANN联系（transfersICANN