域名不僅是一個(gè)網(wǎng)絡(luò)上地址，一個(gè)企業(yè)的域名還代表著企業(yè)的品牌、聲譽(yù)，甚至關(guān)系到企業(yè)的生存。隨著域名重要性與價(jià)值的日益凸顯，其也逐漸成為網(wǎng)絡(luò)黑客的目標(biāo)。域名劫持是一種嚴(yán)重的網(wǎng)絡(luò)安全威脅，如果不及時(shí)加以應(yīng)對(duì)，會(huì)帶來(lái)嚴(yán)重后果。什么是域名劫持？哪些老牌科技企業(yè)也遭遇過(guò)域名劫持？如何檢測(cè)和預(yù)防？

一、什么是域名劫持
域名劫持（Domain name hijacking），也稱為域名盜竊，是指未經(jīng)授權(quán)的個(gè)人獲取域名控制權(quán)的行為。此行為通過(guò)攻擊域名解析服務(wù)器（DNS）或偽造域名解析服務(wù)器，將目標(biāo)網(wǎng)站的域名解析到錯(cuò)誤的IP地址，從而導(dǎo)致用戶無(wú)法訪問(wèn)目標(biāo)網(wǎng)站，或者惡意引導(dǎo)用戶訪問(wèn)指定的IP地址（網(wǎng)站）。
這種惡意行為可能導(dǎo)致以下后果：
1.流量重定向：劫持者將流量從合法網(wǎng)站重定向至欺詐網(wǎng)站，從而達(dá)成網(wǎng)絡(luò)釣魚或分發(fā)惡意軟件的目的。
2.濫用電子郵件：劫持者利用域名發(fā)送垃圾郵件，損害企業(yè)的聲譽(yù)，進(jìn)一步可能致使域名被郵件服務(wù)提供商列入黑名單。
3.域名倒賣：劫持者在黑市上出售域名，從中牟利，導(dǎo)致企業(yè)失去對(duì)域名的控制權(quán)。
二、域名劫持如何發(fā)生
域名劫持通常是由于域名注冊(cè)賬戶存在安全漏洞或遭受社會(huì)工程學(xué)攻擊引起的。域名解析（DNS）的基本原理是將網(wǎng)絡(luò)地址（域名，以字符串形式表示）映射到計(jì)算機(jī)可以識(shí)別的網(wǎng)絡(luò)地址（IP地址），以便計(jì)算機(jī)之間進(jìn)行通信，傳遞網(wǎng)址和內(nèi)容等。由于域名劫持只能在特定的網(wǎng)絡(luò)范圍內(nèi)進(jìn)行，所以范圍外的域名服務(wù)器（DNS）能夠返回正常的IP地址。
攻擊者正是利用這一點(diǎn)，在特定范圍內(nèi)阻斷正常DNS的IP地址，使用域名劫持技術(shù)，通過(guò)偽裝成原域名持有者，通過(guò)電子郵件方式修改公司的注冊(cè)域名記錄，或?qū)⒂蛎D(zhuǎn)讓到其他組織。攻擊者在修改注冊(cè)信息后，在指定的DNS服務(wù)器中添加該域名記錄，使原域名指向另一IP地址的服務(wù)器，從而使得多數(shù)用戶無(wú)法正確訪問(wèn)，直接訪問(wèn)到惡意用戶指定的域名地址。
常見的攻擊方式包括：
1.弱密碼：企業(yè)使用了弱密碼或容易猜測(cè)的密碼，使攻擊者更容易獲得未經(jīng)授權(quán)的訪問(wèn)權(quán)限。
2.網(wǎng)絡(luò)釣魚攻擊：黑客使用釣魚郵件或假冒網(wǎng)站，誘使域名所有者泄露登錄憑據(jù)，從而劫持域名。
3.注冊(cè)過(guò)期：未及時(shí)續(xù)約域名可能會(huì)使其被監(jiān)控并搶注。
三、著名的域名劫持案例
（一）案例一：谷歌越南 google.com.vn
2015年，Google越南（google.com.vn）域名遭到劫持，攻擊者是臭名昭著的黑客組織Lizard Squad。攻擊者通過(guò)更改谷歌的DNS記錄，將用戶流量重定向到一個(gè)推廣網(wǎng)絡(luò)攻擊工具的頁(yè)面。其將谷歌的DNS服務(wù)器(例如ns1.google.com，ns2.google.com)重定向到CloudFlare的IP地址以實(shí)現(xiàn)攻擊。谷歌迅速恢復(fù)了對(duì)該域名的控制,但此事件表明即使是大型科技公司也無(wú)法完全避免域名劫持的風(fēng)險(xiǎn)。
（二）案例二：Perl編程語(yǔ)言官網(wǎng) perl.com
2021年，Perl編程語(yǔ)言官方網(wǎng)站Perl.com的域名遭遇黑客劫持，被指向一個(gè)惡意網(wǎng)站。經(jīng)過(guò)數(shù)月的努力，Perl團(tuán)隊(duì)才終于重新掌控了該域名。該事件嚴(yán)重影響了Perl社區(qū)，因?yàn)樵S多用戶在此期間無(wú)法訪問(wèn)官方資源，阻礙了社區(qū)內(nèi)部的信息傳播和交流。
（三）案例三：聯(lián)想集團(tuán)官網(wǎng) lenovo.com
2015年，黑客通過(guò)入侵聯(lián)想員工的電子郵箱賬戶，獲取了聯(lián)想的域名注冊(cè)信息，并成功將域名轉(zhuǎn)移到另一個(gè)注冊(cè)商。此次攻擊導(dǎo)致聯(lián)想網(wǎng)站暫時(shí)中斷，用戶被重定向到一個(gè)帶有黑客留言的頁(yè)面。這一事件進(jìn)一步披露了企業(yè)內(nèi)部安全和電子郵件系統(tǒng)的潛在薄弱環(huán)節(jié)，同時(shí)也突顯了在管理域名注冊(cè)信息時(shí)需要高度警惕。
通過(guò)上述案例，能看出域名劫持不僅影響范圍廣泛，老牌的科技企業(yè)也往往難以幸免，而且其手段多樣，造成的后果也頗為嚴(yán)重。
參考報(bào)道：
1.Google Vietnam Targeted in DNS Hijacking Attack - SecurityWeek
2.Google Vietnam domain name briefly hacked and hijacked by Lizard Squad | IBTimes UK
3.Webnic Registrar Blamed for Hijack of Lenovo, Google Domains – Krebs on Security
四、如何預(yù)防域名劫持
對(duì)于日漸增長(zhǎng)的安全威脅，遭遇域名劫持并導(dǎo)致用戶數(shù)據(jù)泄露、網(wǎng)站服務(wù)中斷以及企業(yè)聲譽(yù)受損的風(fēng)險(xiǎn)也與日俱增。面對(duì)不斷演變的網(wǎng)絡(luò)攻擊手段，以下措施是保護(hù)企業(yè)的數(shù)字資產(chǎn)的幾點(diǎn)建議。

五、結(jié)語(yǔ)
如果您想進(jìn)一步了解如何保護(hù)您的域名和其他數(shù)字資產(chǎn)，請(qǐng)聯(lián)系我們?cè)囉肧ecurityScorecard，實(shí)現(xiàn)全面的安全評(píng)估和監(jiān)控，識(shí)別和解決潛在的安全威脅，在數(shù)字化時(shí)代保持企業(yè)安全。

審核編輯 黃宇