Cloudflare：什么是全球DNS劫持威脅？

什么是全球DNS劫持威脅？

包括Tripwire、FireEye和Mandiant等主要網(wǎng)絡(luò)安全公司的專家報告了全球范圍內(nèi)發(fā)生的令人震驚的DNS劫持攻擊浪潮。這些攻擊針對中東、歐洲、北非和北美的政府、電信和互聯(lián)網(wǎng)實體。

研究人員尚未公開這類攻擊的目標站點，但他們承認受損的域的數(shù)量在數(shù)十個范圍。這些攻擊自2017年以來一直在進行，它們結(jié)合使用先前被盜的憑據(jù)，將用戶引領(lǐng)到旨在竊取登錄憑據(jù)和其他敏感信息的假冒網(wǎng)站。

盡管沒有人表示為這些攻擊負責，但許多專家認為這些攻擊來自伊朗。攻擊者的幾個 IP地址已經(jīng)追溯到伊朗。盡管攻擊者有可能通過幌騙到伊朗IP來洗脫嫌疑，但攻擊的目標似乎也指向伊朗。目標包括幾個中東國家的政府站點，這些站點包含沒有任何財務(wù)價值但對伊朗政府來說非常有價值的數(shù)據(jù)。

這些DNS劫持攻擊如何運作？

攻擊的執(zhí)行策略有幾種，但主要流程如下：

攻擊者創(chuàng)建一個假網(wǎng)站，其外觀和感覺與他們要攻擊的目標站點相同。

攻擊者使用定向攻擊（例如魚叉式網(wǎng)絡(luò)釣魚）來獲取目標站點的 DNS * 提供商的管理面板登錄憑據(jù)。

然后，攻擊者進入DNS管理面板，并更改了攻擊目標站點的DNS記錄（這稱為 DNS 劫持 ），這樣，嘗試訪問該站點的用戶將被發(fā)送到該虛擬站點。

攻擊者偽造 TLS加密證書 ，該證書將讓用戶的瀏覽器確信虛擬站點是合法的。

毫無戒心的用戶轉(zhuǎn)到受損站點的URL，然后將其重定向到假的站點。

然后用戶嘗試登錄假的站點，攻擊者將獲得其登錄憑據(jù)。

*域名系統(tǒng)（DNS）類似于互聯(lián)網(wǎng)中的電話簿。當用戶在瀏覽器中輸入URL（例如“ google.com”）時，其在DNS服務(wù)器中的記錄 會將該用戶定向到谷歌的源站 。如果這些DNS記錄遭到篡改，則用戶可能會遇到意外的情況。

如何防止DNS劫持攻擊？

在這些類型的攻擊中，單個用戶無法采取太多措施來保護自己，以防丟失憑據(jù)。如果攻擊者在創(chuàng)建其虛假站點時足夠徹底，那么即使是技術(shù)嫻熟的用戶也很難發(fā)現(xiàn)差異。

防護這些攻擊的一種方法是讓DNS提供商加強其身份驗證，采取諸如要求雙因素身份驗證之類的措施，這將使攻擊者訪問DNS管理面板更加困難。瀏覽器還可以更新其安全規(guī)則，例如仔細檢查TLS證書的來源，以確保它們源自與所使用域相符的來源。