那攻击者到底是怎样实施该域名劫持攻击的呢？从攻击者的过程来看，主要有5个步骤：

　　1.获得要劫持的域名注册信息

　　攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的MAKE CHANGES功能，输入要查询的域名，获得该域名注册信息。并通过相关的攻击手段，获取更多的关于该网站的安全资料。

　　2.控制该管理域名的E-MAIL帐号

　　从上面获得的信息，攻击者可了解到abc.com的注册DNS服务器，管理域名的E-MAIL帐号，技术联系E-MAIL帐号等等注册资料，攻击者的重点就是先需要把该管理域名的E-MAIL帐号abc.legal.internet.registration@ABC.COM控制，进行收发在网络

　　解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测，对该帐号所在E-MAIL服务器进行入侵攻击。

　　3.修改该域名在网络解决方案公司的注册信息

　　到这个时候，攻击者会使用网络解决方案公司networksolutions的MAKE CHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息，等等。

　　4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函

　　攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前，把该E-MAIL帐号的信件接收，使用该E-MAIL帐号回复网络解决方案公司进行确认，进行二次回复确认后，将收到网络解决方案公司发来的成功修改注册记录函，攻击者成功劫持域名。

　　5.在新指定的DNS服务器加进该域名记录

　　在注册信息新指定DNS服务器里加进该域名的PTR记录，指向另一IP的服务器，通常那两台服务器都是攻击者预先入侵控制的服务器，并不归攻击者所拥有。

TGBUS就是一个很好的例子…..

昨日，只要搜索www.025yc.com， 就会看到以上的情况。

这个是HackSeo，还是……域名被劫持了？

什么是域名劫持呢？

域名劫持就是在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则直接返回假的IP地址或者什么也不做使得请求失去响应，其效果就是对特定的网址不能访问或访问的是假网址。

域名解析的基本原理是把网络地址（域名，以一个字符串的形式，比如 www.google.com）对应到真实的计算机能够识别的网络地址（IP地址，比如216.239.53.99 这样的形式），以便计算机能够进一步通信，传递网址和内容等。

由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。

如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问http://163.com/ ，可以把访问改为http://220.181.29.154/ ，从而绕开域名劫持(虚拟主机不能简单如此配置)。

反正不管怎样，他竟然让GOOGLE误以为是GOV.CN，的确很NB……