2007年的資安界發生一件妙事：由於微軟人員設定錯誤，MSN的臺灣首頁發生遭駭客轉址的事件。「msn.com.tw」的域名伺服器應指向「dns.cp.msft.net」，微軟人員卻誤指向「dns.cpmsft.net」（少了一個點）。署名為朱利安（Julian）的駭客發現這個疏失後，偷偷註冊了「 dns.cpmsft.net」的網域名稱並動個小手腳，為「msn.com.tw」填上假目標。當使用者連至「http://www.msn.com.tw」時，就會被自動轉址到「http://www.julianhaight.com/msnhack.html#」。不過朱利安並無惡意，他在導向網站上聲明，不會利用此問題從事任何惡意活動。雖然未造成重大損失，但這個MSN轉址事件突顯了一個重要安全問題：域名假造。

網域名稱解析的重要性
對於大部分網站使用者來說，域名解析是個重要關鍵。很少使用者會去背網站的真實IP位址，而許多網址也只以域名提供服務，而不允許使用IP連結。使用者要瀏覽網站時，多半鍵入的是網站網域名稱，像是www.google.com、www.microsoft.com，再仰賴域名解析服務（DNS）來找到網站真正位置。即使利用搜尋引擎來尋找，結果中顯示的也多半是域名網址。若此時域名遭篡改，使用者就會在不知不覺中被轉入偽造網站。

網址嫁接
網址嫁接（Pharming）技術指的就是利用偽造域名的技術來欺騙使用者。常見的手法可分為兩大類：一種是修改本機的hosts檔案，木馬與病毒經常利用此一方式。另一種就是偽造域名，最常用的技巧稱作DNS 快取污染（DNS Cache Poison）。DNS 快取污染的實作通常是針對DNS伺服器的漏洞，讓攻擊者得以任意添加或修改域名記錄。除了DNS 快取污染，攻擊者也可建立假的域名伺服器，或直接入侵現有的域名伺服器主機，藉此影響部分區域的使用者。

攻擊者修改域名的目的，最主要是要將使用者導向偽造網站，或促使連結失敗。最喜歡域名欺騙的當屬廣告網站和競爭廠商了。

廣告網站可藉由修改域名，將瀏覽率高的知名網域（Google、Baidu等），甚至所有查詢失敗的域名解析都導向自己的廣告頁，藉以提高點擊數或不正當地增加曝光率，效益遠比廣告郵件和付費搜尋排名都大得多。競爭廠商更是具有強烈商業動機。舉例來說，若將「A拍賣」的域名改至「B拍賣」的主機，一方面可以減少「A拍賣」的使用者，讓「A拍賣」使用者的信心流失；一方面也可以增加「B拍賣」的使用者數。

另一個偽造域名的目的，則是要避過安全防護機制。舉例來說，網蟲或木馬會搜尋所有防毒廠商的域名，像是將所有知名廠商病毒碼更新網站的域名記錄改為127.0.0.1。當使用者想要更新病毒碼時，就會因為解析錯誤而更新失敗，接下來就是惡意程式大顯身手的時間。除了防毒網站，系統更新網站也是目標之一。不消說，微軟自動更新服務就是首要目標。試想若上例中設定錯誤的，不是MSN臺灣首頁，而是微軟的自動更新網站。當有重大漏洞被公布時，使用者卻因為域名問題，遲遲無法修補作業系統或應用程式，在這個瞬間，就為新網蟲提供成千上萬的跳板。這是偽造域名所帶來的龐大威脅。

與網路釣魚很相似
既然可以阻止更新，是不是也可以反過來利用，將惡意程式埋入使用者主機呢？前年有家B大廠發生過嚴重的資安問題，網站上所有產品的驅動程式都被置換成木馬。B大廠的使用者因為信賴B大廠，即使防毒程式狂叫不已，仍很有自信地安裝這些加料後的驅動程式，因而資料紛紛被盜。

現在駭客更輕鬆了，根本不用大費周章去入侵網站，只要利用網址嫁接技術就可以達到相同效果。駭客將B大廠的域名對應改到自己架設的主機上，再複製B大廠的網頁結構於主機上，就可以讓使用者在瀏覽時察覺不出真假。所有可下載的程式其實都是木馬，只是在網址看來正確，網頁內容又看起來正常的狀況下，瀏覽者實在很難不被騙。

這種手法聽起來很熟悉？是的，網址嫁接本來就是網頁釣魚（Phishing）的兄弟。網頁釣魚最困難的部分就是如何誘騙使用者進入假網站，一旦使用者警覺性很高，網址一有不對勁就離開，網頁釣魚就很難成功。但有了網址嫁接協助，駭客根本不用費神申請類似網址或縮址，也不用發信或寫廣告文章一個個去欺騙使用者。只要直接改掉域名記錄，大批使用者就會自動上門。若前面的MSN例子發生在各類交易與拍賣網站身上，像是國外駭客最覬覦eBay或Paypal等，駭客就可輕易利用假網站取得使用者的帳號與密碼。

網路銀行也是重點目標之一，尤其是採用SSL機制的網站。網址嫁接是中間人攻擊（Man-in-The-Middle）的重要工具之一。當使用者連到偽造主機後，偽造主機會發出憑證給使用者要求進行SSL加密。

懂得密碼學的讀者可能會問，駭客怎麼可能會有真實網銀的私密金鑰來處理憑證呢？其實駭客迴避的方法很多種，像是複製真實網站的憑證發給使用者，但是其實並沒有用到SSL加密，全程用明文傳輸。或者是直接發出沒有經過公開憑證中心簽署過的偽造憑證，反正大部分使用者看到SSL警告訊息，都已經習慣性按下確認略過。使用者看到SSL後，往往就認為網站很安全，而安心進行交易，殊不知，交易對象已經變成駭客，交易過程加密得再安全也是沒用。

愈接近使用者端、愈偏區域性的域名欺騙，通常愈難以被發現。雖然域名伺服器入侵或修改域名必須具備一定條件才可達成，但是成功後，用戶和被偽造的域名註冊人幾乎都很難察覺，潛在風險難以量化。惟域名伺服器管理者多加小心，才不會害自己公司的同事整批成為網址嫁接受害者。

參考資料：《iThome企業資安技術應用專刊》作者/數聯資安技術處副處長楊伯瀚