Cloudflare：什么是全球DNS劫持威脅？

什么是全球DNS劫持威脅？

包括Tripwire、FireEye和Mandiant等主要網(wǎng)絡(luò)安全公司的專家報(bào)告了全球范圍內(nèi)發(fā)生的令人震驚的DNS劫持攻擊浪潮。這些攻擊針對(duì)中東、歐洲、北非和北美的政府、電信和互聯(lián)網(wǎng)實(shí)體。

研究人員尚未公開這類攻擊的目標(biāo)站點(diǎn)，但他們承認(rèn)受損的域的數(shù)量在數(shù)十個(gè)范圍。這些攻擊自2017年以來(lái)一直在進(jìn)行，它們結(jié)合使用先前被盜的憑據(jù)，將用戶引領(lǐng)到旨在竊取登錄憑據(jù)和其他敏感信息的假冒網(wǎng)站。

盡管沒(méi)有人表示為這些攻擊負(fù)責(zé)，但許多專家認(rèn)為這些攻擊來(lái)自伊朗。攻擊者的幾個(gè) IP地址已經(jīng)追溯到伊朗。盡管攻擊者有可能通過(guò)幌騙到伊朗IP來(lái)洗脫嫌疑，但攻擊的目標(biāo)似乎也指向伊朗。目標(biāo)包括幾個(gè)中東國(guó)家的政府站點(diǎn)，這些站點(diǎn)包含沒(méi)有任何財(cái)務(wù)價(jià)值但對(duì)伊朗政府來(lái)說(shuō)非常有價(jià)值的數(shù)據(jù)。

這些DNS劫持攻擊如何運(yùn)作？

攻擊的執(zhí)行策略有幾種，但主要流程如下：

攻擊者創(chuàng)建一個(gè)假網(wǎng)站，其外觀和感覺(jué)與他們要攻擊的目標(biāo)站點(diǎn)相同。

攻擊者使用定向攻擊（例如魚叉式網(wǎng)絡(luò)釣魚）來(lái)獲取目標(biāo)站點(diǎn)的 DNS * 提供商的管理面板登錄憑據(jù)。

然后，攻擊者進(jìn)入DNS管理面板，并更改了攻擊目標(biāo)站點(diǎn)的DNS記錄（這稱為 DNS 劫持 ），這樣，嘗試訪問(wèn)該站點(diǎn)的用戶將被發(fā)送到該虛擬站點(diǎn)。

攻擊者偽造 TLS加密證書 ，該證書將讓用戶的瀏覽器確信虛擬站點(diǎn)是合法的。

毫無(wú)戒心的用戶轉(zhuǎn)到受損站點(diǎn)的URL，然后將其重定向到假的站點(diǎn)。

然后用戶嘗試登錄假的站點(diǎn)，攻擊者將獲得其登錄憑據(jù)。

*域名系統(tǒng)（DNS）類似于互聯(lián)網(wǎng)中的電話簿。當(dāng)用戶在瀏覽器中輸入U(xiǎn)RL（例如“ google.com”）時(shí)，其在DNS服務(wù)器中的記錄 會(huì)將該用戶定向到谷歌的源站 。如果這些DNS記錄遭到篡改，則用戶可能會(huì)遇到意外的情況。

如何防止DNS劫持攻擊？

在這些類型的攻擊中，單個(gè)用戶無(wú)法采取太多措施來(lái)保護(hù)自己，以防丟失憑據(jù)。如果攻擊者在創(chuàng)建其虛假站點(diǎn)時(shí)足夠徹底，那么即使是技術(shù)嫻熟的用戶也很難發(fā)現(xiàn)差異。

防護(hù)這些攻擊的一種方法是讓DNS提供商加強(qiáng)其身份驗(yàn)證，采取諸如要求雙因素身份驗(yàn)證之類的措施，這將使攻擊者訪問(wèn)DNS管理面板更加困難。瀏覽器還可以更新其安全規(guī)則，例如仔細(xì)檢查TLS證書的來(lái)源，以確保它們?cè)醋耘c所使用域相符的來(lái)源。