广义域名劫持也常统称DNS劫持，是指通过技术手段或社会工程学等方式，篡改域名解析记录，将用户的合法请求指向恶意网站，用于流量劫持、数据窃取等非法活动。根据攻击手段不同，广义上的域名劫持主要可以分为以下几种类型：

　　1.本地hosts劫持

　　攻击者篡改用户设备中的hosts文件，添加“域名-IP”的错误映射关系。当用户访问域名时，会优先读取hosts文件中的记录，从而被导向恶意站点。这类攻击范围小，只影响单台设备。

　　2.本地DNS设置劫持

　　攻击者篡改用户设备中的DNS服务器设置，将其修改为攻击者控制的服务器。用户所有的解析请求都会发往恶意DNS服务器，并返回虚假的IP地址，同样攻击范围小，只影响单台设备。

　　3.路由器DNS劫持

　　攻击者篡改路由器中的DNS配置，使得局域网内所有解析请求都会被指向恶意的DNS服务器和站点。这类攻击会批量劫持内网用户，且隐蔽性较强。

　　4.中间人劫持

　　攻击者拦截正常的DNS请求，伪造响应包抢先返回错误的IP。这种攻击方式不需要控制服务器，只劫持通信链路，常见于公共网络。

　　5.DNS缓存投毒

　　攻击者利用DNS系统中的缓存机制，向递归DNS服务器中注入伪造的解析记录，污染服务器中的DNS缓存，从而将请求该DNS服务器的用户重定向到恶意网站。这类攻击方式传播速度快、影响范围广。

　　6.运营商劫持

　　部分运营商出于广告投放或政策管控等原因，可能会篡改用户的某些DNS请求，将其指向广告页，或插入强制跳转。这类劫持方式隐蔽性强，用户很难察觉。

　　7.权威DNS劫持

　　攻击者直接窃取域名的控制权限，篡改A记录、CNAME记录、NS记录等核心配置。这类攻击方式影响覆盖全网用户，是危害最大的一种劫持方式，上述eth.limo事件便属于此类劫持。

　　域名劫持多维度应对策略

　　结合eth.limo事件以及各类域名劫持的特点，企业和机构可以采取以下措施来应对频发的域名劫持风险：

　　1.部署DNSSEC

　　从eth.limo事件可见，DNSSEC是抵御域名劫持最有效的手段之一。启用DNSSEC协议，会对DNS解析数据进行签名和验证，来确保解析记录的真实可靠，即便域名权限被窃取，也能在一定程度上阻断非法记录生效。

　　2.加强账户安全

　　很多域名劫持都是从攻破域名账户开始的，所以强化域名账户的安全等级十分有必要。建议采用高强度密码，选择支持多因素认证、高安全等级的域名注册商，关闭不必要的账户恢复功能，封堵权限泄露风险。

　　3.启用域名锁定

　　域名锁能够锁定域名转移过户、DNS解析配置修改等关键操作。启用域名锁后，任何敏感操作都需要经过专人审核，未经授权无法进行，从操作层面杜绝非法篡改的可能。

　　4.优先使用.CN国家顶级域

　　.CN是中国国家顶级域，由中国互联网络信息中心(CNNIC)管理，独立可控，不受国外政策影响。使用.CN域名，可有效降低对传统顶级域的依赖，规避受国外政策影响带来的域名扣押风险。

　　5.申请自有新通用顶级域

　　ICANN已于近期开放了第二轮新通用顶级域申请，这对企业和机构进行更进一步的域名安全保护提供了一个很好的契机。申请专属的新通用顶级域，可以更进一步摆脱对第三方机构的依赖，实现域名从注册到解析全流程的自主可控