在维基百科页面引用的文章中，事情更清楚了。这是故事：

CryptoLocker 恶意软件使用随机生成的密钥加密用户文件。为了实施勒索，恶意软件必须将解密密钥发送到由坏人操作的命令和控制中心。一个单一的、固定的 C&C 服务器 IP 或名称将很快被当局关闭。为了避免这个问题，CryptoLocker 的作者使用了以下方案：C&C 以相当高的速率注册看起来随机的域名（每天 1000 个！）。域名是使用恶意软件也知道的确定性伪随机算法生成的。因此，当 CryptoLocker 在受害者的计算机上执行时，它会尝试使用其中一个域名du jour为了和 C&C 对话。攻击者的希望是执法机构将不得不通过繁重的行政官僚机构来强制关闭域名，并且每天无法做到 1000 次。

由于恶意软件知道域生成算法，研究人员 (Dimiter Andonov) 对代码进行了逆向工程，因此能够提前预测域名。卡巴斯基连续三天“沉没”3000个域名中的三个；这意味着他们只是……注册了这些域。这阻止了坏人做同样的事情，但也向卡巴斯基提供了一些数据。卡巴斯基想要采取措施，而不是控制感染。凭借他们的三个域名，在三天内拯救了大约 1/1000 的 CryptoLocker 受害者（一般来说，这不是一个很高的成就），但他们还获得了全球受害者分布的统计数据：感染 CryptoLocker 的机器的 1/1000 ，在这三天里，不是与 C&C 交谈，而是与卡巴斯基的系统交谈，不加密数据，还要注明谁与他们交谈。

要在 DNS 级别真正阻止 CryptoLocker，每天必须阻止所有 1000 个域（例如，通过根 DNS），这可能意味着一些附带损害（正常的、诚实的域可能会因为运气不好而成为随机生成的一部分名称）。

“天坑”一词在这里有些辱骂。真正的DNS sinkhole 意味着更强大的东西：sinkhole 是一个 DNS 服务器，它“以某种方式”插入到 DNS 服务器链中，这些服务器将被询问对给定名称的解析的意见。本地版本很简单：将一些明确的主机到 IP 信息/etc/hosts（或其 Windows 等效项）放入，这将覆盖外部 DNS 系统可能对名称所说的任何内容。为了获得更全局的效果，这必须在操作系统级别（例如，Microsoft 可能会推送一个更改名称解析的操作系统补丁）或在根 DNS（或类似于“”的“子根” co.uk）上完成。

从这个意义上说， DNS 天坑和DNS 欺骗之间的区别在于，在前一种情况下，它是由“好”人执行的。从形式上讲，这是一种攻击……它提醒我们，您使用的操作系统和浏览器的供应商（例如 Microsoft）和根 DNS 运营商是“受信任的”：如果他们对您怀有敌意，那么您就注定要失败。

这是如何运作的？谁能沉沦域？

任何人都可以下沉域。关键是它只影响使用该特定天坑进行 DNS 解析的系统。显然，根 DNS 服务器或 ISP 控制的 DNS 服务器会影响更多的机器。

查看链接到的维基百科页面的文章。

来自 ThreatTrack Security 的 Dimiter Andonov 对该算法进行了逆向工程，卡巴斯基实验室挖掘了三个域来衡量全球受害者的数量。总共，我们有 2764 个唯一的受害者 IP 与沉洞域联系。

卡巴斯基正在使用 DNS 天坑来衡量全球受害者的数量。这篇文章没有说明卡巴斯基使用谁或哪些 DNS 服务器来完成此任务，但它可能是他们拥有的。

有没有办法注意到一个域被坑了？也许是一面旗帜或什么？或者是咨询额外的替代 DNS 服务器并比较解析的 IP 的唯一方法？

我认为没有任何快速简便的方法可以做到这一点。我注意到 GitHub 上这个名为dnsyo的工具可能会有所帮助，但您必须自己进一步调查。

您可以从您从该域获得的回复中了解以下链接有屏幕截图 http://www.bleepingcomputer.com/forums/t/511780/dns-sinkhole-campaign-underway-for-cryptolocker/