域名劫持者所使用的技术并非以往所使用的入侵WEB 服务器,更改主页的惯用手法,使用的是一种域名劫持攻击技术,通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录,将域名转让到另一团体,通过在修改后注册信息所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,通常那两台服务器都是域名劫持者预先入侵控制的服务器,并不归域名劫持所拥有.

那攻击者到底是怎样实施该域名劫持攻击的呢?
1.获得要劫持的域名注册信息  
  攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的MAKE CHANGES功能,输入要查询的域名,获得该域名注册信息以abc.com为例,我们将获得以下信息:  
Registrant:  
Capital Cities/ABC,Inc (ABC10-DOM)  
77 W 66th St.  
New York, NY 10023  
US  

Domain Name: ABC.COM  

Administrative Contact, Billing Contact:  
King, Thomas C. (SC3123-ORG) abc.legal.internet.registration@ABC.COM  
ABC, Inc.  
77 W 66th St.  
New York, NY 10023  
US  
212-456-7012  
Technical Contact, Zone Contact:  
Domain Administrator (DA4894-ORG) dns-admin@STARWAVE.COM  
Starwave Corporation  
13810 SE Eastgate Way, ste. 400  
Bellevue, WA 98005  
US  
206.664.4800  
Fax- 206.664.4829  

Record last updated on 11-Oct-2000.  
Record expires on 23-May-2003.  
Record created on 22-May-1996.  
Database last updated on 20-Oct-2000 14:14:26 EDT.  

Domain servers in listed order:  

DNS1.STARWAVE.COM 204.202.132.51  
T.NS.VERIO.NET 192.67.14.16  


2.控制该管理域名的E-MAIL帐号  
  从上面获得的信息,攻击者可了解到abc.com的注册DNS服务器,管理域名的E-MAIL帐号,技术联系E-MAIL帐号等等注册资料,攻击者的重点就是先需要把该管理域名的E-MAIL帐号abc.legal.internet.registration@ABC.COM控制,进行收发在网络解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测,对该帐号所在E-MAIL服务器进行入侵攻击.  


3.修改该域名在网络解决方案公司的注册信息  
  到这个时候,攻击者会使用网络解决方案公司networksolutions的MAKE CHANGES功能修改该域名的注册信息,包括拥有者信息,DNS服务器信息,等等.  


4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函  
  攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前,把该E-MAIL帐号的信件接收,使用该E-MAIL帐号回复网络解决方案公司进行确认,进行二次回复确认后,将收到网络解决方案公司发来的成功修改注册记录函,攻击者成功劫持域名  


5.在新指定的DNS服务器加进该域名记录  
  在注册信息新指定DNS服务器里加进该域名的PTR记录,指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有.  

后补：我认为在这种情况下，一个关键的就是比较了解这个与名的注册信息，然后破信箱。呵呵！其实就是你域名劫持成功了，也会被最高权限拿回来！所以我劝那些想做的朋友还是学点别的吧！我贴的只是供给大家一点思路。


怎么防止域名被劫持

ICANN更改了域名转移注册商的协议，所以您的域名被别人劫持的概率大大加大。
那么如何防止域名被恶意转移呢
我们需做到以下几点：

一：保持域名whois信息真实有效（尤其是email信息）
二：如果收到域名转移请求的邮件一定要明确拒绝（这个对英语不好的人有难度了）
三：如果您的域名可以设置客户锁定，那么锁定您的域名。

四：如果您无法做到以上几点，那么请求您的域名注册商锁定您的域名。

DNS的重要的安全隐患包括：DNS欺骗、拒绝服务攻击、分布式拒绝服务攻击和缓冲区漏洞溢出攻击。



1、DNS欺骗:即域名信息欺骗，是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。网络攻击者通常通过以下方法进行DNS欺骗。



（1）缓存感染 网络攻击者会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。



（2）DNS信息劫持 攻击者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。



（3）DNS重定向 攻击者能够将DNS名称查询重定向到恶意DNS服务器。这样攻击者可以获得DNS服务器的写权限。



2、拒绝服务攻击: 网络攻击者主要利用一些DNS软件的漏洞，如在BIND 9版本（版本9.2.0以前的 9系列）如果有人向运行BIND的设备发送特定的DNS数据包请求，BIND就会自动关闭。攻击者只能使BIND关闭，而无法在服务器上执行任意命令。



3、分布式拒绝服务攻击: 通过使用攻击者控制的几十台或几百台计算机攻击一台主机，使得被攻击者更难以通过阻塞单一攻击源主机的数据流，来防范服务拒绝攻击。Syn Flood是针对DNS服务器最常见的分布式拒绝服务攻击。SYN Flood攻击利用的是IPv4中TCP协议的三次握手（Three-Way Handshake）过程进行的攻击。大家知道协议规定，如果一端想向另一端发起TCP连接，它需要首先发送TCP SYN 包到对方，对方收到后发送一个TCP SYN+ACK包回来，发起方再发送TCP ACK包回去，这样三次握手就结束了。在TCP服务器收到TCP SYN request包时，在发送TCP SYN+ACK包回TCP客户机前，TCP服务器要先分配好一个数据区专门服务于这个即将形成的TCP连接。在最常见的SYN Flood攻击中，攻击者在短时间内发送大量的TCP SYN包给TCP服务器。TCP服务器会为每个TCP SYN包分配一个特定的数据区，只要这些SYN包具有不同的源地址（这一点对于攻击者来说是很容易伪造的）。这将给TCP服务器系统造成很大的系统负担，最终导致系统不能正常工作。



4、缓冲区漏洞溢出攻击: 黑客利用DNS服务器软件存在漏洞，比如对特定的输入没有进行严格检查，那么有可能被攻击者利用，攻击者构造特殊的畸形数据包来对DNS服务器进行缓冲区溢出攻击。如果这一攻击成功，就会造成DNS服务停止，或者攻击者能够在DNS服务器上执行其设定的任意代码。