在專家一連串分析之後,已經有一些初步的結果,請大家自行參考下方連結。
http://armorize-cht.blogspot.com/2009/03/blog-post_12.html
資訊安全要靠各位 IT 大大共盡一份心力,讓使用者有個安心的網路。 @@/
2009/3/12
大規模網頁綁架轉址之水落石出篇
http://armorize-cht.blogspot.com/2009/03/blog-post_12.html
山高月小,水落石出、清風徐來,水波不興!
最近的大規模轉址事件,由於影響範圍廣大,引起了各方的討論,o0o.nu的fyodor yarochkin(聯絡方式:fygrave 鼠 o0o 點 nu)與阿碼科技的Wayne,之前針對此事鍵做了一些研究,並在前一篇post「大規模網頁綁架轉址:威脅未解除,但專家都猜錯了」中,依據我們錄到的封包,詳述了我們對事件的看法。我們不覺得此事與DNS有關係,也沒有證據顯示此次與zxarps工具的ARP掛馬手法有關。從我們錄到的封包來看,這是典型的,從90年代一直用到現在的IP spoofing。
這兩天,經過一些研究與測試,我們可以在route上準確的指出攻擊程式的所在位子,昨天也已經充分通知相關單位,今天在這裡把結果與各位分享,另外也謝謝Peter Yen與其他朋友提供的寶貴資訊。
最近攻擊有轉緩的趨勢,大部分大型網站的流量已經不再被轉址,但是我們這幾天觀察下來,一直到昨天(今天尚未測試),攻擊程式都還存在,只是不再針對大型網站spoofing,而針對某些特定網站做spoofing,並且不斷更改行為,故我們認為對方正在做許多測試與校調,試圖盡量讓spoofed封包看起來與正常流量類似,以便下次發動攻擊。我們的測試方法是利用一個小程式發送TCP封包,封包裡是HTTP GET request,而再透過TTL的設計,就可以知道當封包經過哪一個節點時,有spoofed IP packet發送回來。當然我們這種測試方法是可以被偵測到的,所以現在公開之後,預計也將增加往後類似測試的困難度。
詳細內容:請點擊下方連結。
http://armorize-cht.blogspot.com/2009/03/blog-post_12.html
剛好朋友也自己寫了一支程式.軟體可以指定首頁,目錄,定期檢查,若有發現網頁被更動,則立即將該網頁復原[http://www.mosdan.com.tw/upload/File_Keep_1_0.rar
](http://www.mosdan.com.tw/upload/File_Keep_1_0.rar<br />
)