Hosts文件与钓鱼网站

有些病毒或木马，修改你计算机上hosts文件，你访问某些网站就有可能访问到钓鱼网站，或者你的计算机不能打开某个网址，或者你能够打开网页，但是你的计算机不能升级病毒库，这时候你就应该检查一下你的计算机hosts文件，是否有额外的记录。

Hosts文件与域名解析

主机名称解析的过程

Microsoft 公司的客户端，应用以下方法把主机名称解析为IP地址：

解析的标准方法	描述
DNS client程序缓存	缓存位于本地计算机，被DNS客户端服务用来存储解析过的主机到IP地址的映射。
DNS服务器	维护IP地址/计算机名称（主机名称）对照信息数据库的服务器。
Hosts文件	一个本地文本文件，与4.3 Berkeley Software Distribution (BSD) UNIX \Etc\Hosts文件具有相同的格式。这个文件包含主机名称到IP地址的映射，通常被用来为TCP/IP应用解析主机名称。

主机名称解析的流程如下：

1. 某个应用或服务需要对资源进行访问，需要通过主机名称对资源定位，它会把把主机名称提交给本身的DNS Client 服务。

2. DNS Client 服务于是在缓存中查找主机名称到IP地址的映射。hosts文件内的所有条目已经全部预载到缓存中。

3. 如果DNS Client服务在客户端解析程序缓存中没有找到匹配的映射信息，那么DNS客户端服务将向DNS服务器发送一个主机名称查询。

4. 如果已配置的主机名称解析方法失败，则设定的NetBIOS名称解析方法被调用以尝试解析这个名称（只有当主机名称不超过15个字符时才会发生,这是NetBIOS名称规则的限制）。

5. 如果主机名称被找到，其相应的IP地址会被返回给应用。

2.1.1 Hosts文件与域名解析欺骗

从上一小节看出客户端解析域名从缓存和hosts文件中的条目查找优先于从DNS服务器查找。因此如果病毒和恶意软件修改了hosts文件中的条目，计算机将被定位到假冒的网站或造成计算机不能访问某些网站。

如果您的计算机不能访问个别的网站，或能访问Internet但是杀毒软件不能升级，您需要查一下hosts文件，看看是否有可以的记录。

示例：通过hosts实现域名解析欺骗

以下操作将会模拟病毒在计算机hosts文件中添加一条记录，用户在访问淘宝网时，计算机将解析到一个错误的IP地址，不能访问Internet上真正的淘宝网。

步骤：

6. 在Sales计算机上，右击C:\Windows\System32\drivers\etc目录下hosts文件，点击“打开”。

7. 在出现的打开方式对话框，选择“记事本”，点击“确定”。

8. 在计算机本下面添加12.12.1.2 www.taobao.com，保存记事本。

9. 在命令提示符下ping www.taobao.com，会发现解析到的IP地址是12.12.1.2。很显然这是从hosts文件查找的结果。

10. 打开IE浏览器访问www.taobao.com，发现不能访问。因为Sales计算机不能正确的解析到淘宝网的IP地址。

11. 访问www.baidu.com，是可以的。

本文转自 onesthan 51CTO博客，原文链接：http://blog.51cto.com/91xueit/1130699，如需转载请自行联系原作者