由google域名被劫持想到的

看到google被劫持的消息。之前在上网络安全的选修课时，老师讲过DNS域名解析，我那时还不以为然，觉得有哪个黑客会无聊到修改别人计算机里的host文件，现在看来，我的想法太幼稚了。

域名解析指的是根据被访问服务器或计算机的域名地址查找出其对应的IP地址。
DNS解析方法按优先级从高到低有三种方法：
1.内存解析
2.本地HOSTS文件解析(该文件路径为%systemroot%\system32\drivers\etc\hosts)
3.ISP DNS服务器解析

可以看到本地HOSTS文件解析的优先级是比较高的，这也就是为什么病毒的目标指向这个文件以及防御的应对措施也在于这个文件的原因。
用记事本打开HOSTS文件，出现在眼前的是一堆以#开头的注释部分和这样一行：
127.0.0.1 localhost，其中127.0.0.1就是本机地址。
此次大多数病毒感染用户的HOSTS文件中会出现以下几行：

60.190.203.135 www.google.com
60.190.203.135 google.com
60.190.203.135 www.google.cn
60.190.203.135 google.cn

很显然，60.190.203.135不是google的IP，所以当我们键入www.google.com/cn时，跳到的是病毒指引的页面，而不是google的真实页面。
域名欺骗也可能被病毒木马程序利用，当你中毒后，病毒木马程序在HOSTS文件后加上：
127.0.0.1 www.rising.com.cn
127.0.0.1 www.norton.com
127.0.0.1 www.trend.com
当你想用域名访问杀毒软件厂商的主页或下载更新时，都被引导到127.0.0.1,是电脑的本地地址。你想连外面其实是拼命连你自己，当然什么都连不上了。
但HOSTS文件也可以帮我们的大忙。比如blogger被封了，我们可以修改它以实现访问，因为HOSTS文件解析的优先级高嘛。
总之这次事件给我的启发就是，网络安全问题需时时注意，小心防范。时不时的查看一下HOSTS文件，也是不可小觑的工作。