iT邦幫忙

16

大規模網頁綁架轉址之水落石出篇

在專家一連串分析之後,已經有一些初步的結果,請大家自行參考下方連結。

http://armorize-cht.blogspot.com/2009/03/blog-post_12.html

資訊安全要靠各位 IT 大大共盡一份心力,讓使用者有個安心的網路。 @@/
2009/3/12

大規模網頁綁架轉址之水落石出篇

http://armorize-cht.blogspot.com/2009/03/blog-post_12.html

山高月小,水落石出、清風徐來,水波不興!

最近的大規模轉址事件,由於影響範圍廣大,引起了各方的討論,o0o.nu的fyodor yarochkin(聯絡方式:fygrave 鼠 o0o 點 nu)與阿碼科技的Wayne,之前針對此事鍵做了一些研究,並在前一篇post「大規模網頁綁架轉址:威脅未解除,但專家都猜錯了」中,依據我們錄到的封包,詳述了我們對事件的看法。我們不覺得此事與DNS有關係,也沒有證據顯示此次與zxarps工具的ARP掛馬手法有關。從我們錄到的封包來看,這是典型的,從90年代一直用到現在的IP spoofing。

這兩天,經過一些研究與測試,我們可以在route上準確的指出攻擊程式的所在位子,昨天也已經充分通知相關單位,今天在這裡把結果與各位分享,另外也謝謝Peter Yen與其他朋友提供的寶貴資訊。

最近攻擊有轉緩的趨勢,大部分大型網站的流量已經不再被轉址,但是我們這幾天觀察下來,一直到昨天(今天尚未測試),攻擊程式都還存在,只是不再針對大型網站spoofing,而針對某些特定網站做spoofing,並且不斷更改行為,故我們認為對方正在做許多測試與校調,試圖盡量讓spoofed封包看起來與正常流量類似,以便下次發動攻擊。我們的測試方法是利用一個小程式發送TCP封包,封包裡是HTTP GET request,而再透過TTL的設計,就可以知道當封包經過哪一個節點時,有spoofed IP packet發送回來。當然我們這種測試方法是可以被偵測到的,所以現在公開之後,預計也將增加往後類似測試的困難度。

詳細內容:請點擊下方連結。
http://armorize-cht.blogspot.com/2009/03/blog-post_12.html


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0

謝謝資訊分享!

0
kuochiahao
iT邦研究生 1 級 ‧ 2009-03-16 11:00:11

謝謝分享

0
hawkyun
iT邦新手 4 級 ‧ 2010-04-27 13:41:07

剛好朋友也自己寫了一支程式.軟體可以指定首頁,目錄,定期檢查,若有發現網頁被更動,則立即將該網頁復原[http://www.mosdan.com.tw/upload/File_Keep_1_0.rar
](http://www.mosdan.com.tw/upload/File_Keep_1_0.rar<br />
)

我要留言

立即登入留言