iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

2

DNS劫持-手法

  DNS劫持(也稱為DNS重定向)是一種DNS攻擊,攻擊者損壞DNS Server和更改DNS設定,來請求對目標Web Server重定向到他/她自己的惡意伺服器,DNS查詢被錯誤地解析,以便意外地將用戶重定向到惡意站點

  • DNS欺騙:
    一種從合法網站重定向到惡意網站,例如www.google.com變成google .attacker.com,攻擊者破壞DNS server(利用Ddos攻擊)並以這種方式欺騙合法網站並將用戶重定向到惡意網站
    DNS Spoofing
    DNS Spoofing(DNS欺騙)
    1. 當Client 請求網站連線,送給DNS Server
    2. 攻擊者已經注入假的DNS
    3. DNS解新到假的網站,將client指向假的網站
  • 緩存(Cache)中毒:
    cache中毒 是實現DNS 欺騙的另一種方式,攻擊者透過插入偽造的DNS來毒害DNS Cache 包含同一網域的備用ip,DNS server 將網域解析為欺騙性的網站,從正常訪問頁面引導到釣魚網頁等通過偽造郵件和其他的server服務獲取訊息,直到刷新cache。
  • 運營商的劫持:
    是不良供應商為了推廣業務或者進行額外的收益,利用DNS解析設定,將頁面綁架至其他頁面或插入許多廣告

DNS劫持-流程

  • 正常DNS查詢流程:

    1. user 請求連線到google .com ,DNS解析找到對應的IP,回應給User
    2. User連線到DNS回應的IP的網站
      正常DNS
  • DNS劫持流程:

    1. 攻擊者破壞DNS Server 和更改DNS 設定
    2. 受害者(user) 發送請求連線到google給DNS server
    3. 已被更改設定的DNS Server檢查對應名稱回應給user錯誤的IP
    4. User連線錯誤的IP導向惡意網站
      DNS劫持

DNS劫持-影響

  • DNS劫持帶來的危害
    1. 釣魚詐騙
    2. 網上購物支付安全
    3. 洩露個人隱私
    4. 輕則影響網速,重則不能上網
  • 案例:MyEtherWallet.com乙太幣
    2018/4/24晚間
      駭客透過 DNS Hijacking 手法搭配 MyEtherWallet.com 假網站,成功的騙到幾百位的受害者。
      當使用者透過瀏覽器開啟MyEtherWallet網站時,被導到一個偽造的釣魚網站,受害者沒有察覺是假網站,進行乙太幣轉帳,,轉出去的錢不是轉到受害者想轉幣的位址,而是進入駭客的錢包位址,而這次的資安事件中,MyEtherWallet並沒有被駭客入侵,而是網路上提供網域解析工作的DNS server被駭客下毒,在正常情況下使用者連線到MyEtherwallet網站DNS server會解析出正確的IP位址回覆給使用者,但這時DNS server已被駭客下毒,DNS Server回覆的IP位址就不是指向真正的網站,而是駭客要你連到的惡意網站。
      駭客在事發後幾小時,就已經迅速將騙來的乙太幣轉出到其他多個帳戶,那些受到釣魚攻擊的受害者,想把錢追回來是非常困難的。
      在此次事件中,以Chrome為例,只會顯示出紅色的https不安全警告,表示連線的遠端服務器憑證有安全問題,這種情況通常可以判斷這是個釣魚網站。
      之前也有類似的案例是駭客利用受害者貪小便宜的心態,假冒數位貨幣交易所的CEO名義,以贈送以太幣方式,在極短的時間內騙了近千萬。
    案例新聞:
    1. https://www.ithome.com.tw/news/122665
    2. https://blog.trendmicro.com.tw/?tag=dns-hijacking

DNS劫持-預防

  1. 加強病毒檢查,開啟防火牆等,防止惡意程式,木馬病毒感染
    • 部分的DNS劫持是透過,惡意程式或木馬進行攻擊,那確保機器中沒有惡意程式,加強病毒檢查,開啟防火牆,防止惡意程式及木馬病毒感染
  2. 修改Router密碼
    • 不要使用預設密碼,使用預設密碼容易被駭客入侵進行攻擊
  3. 清理HOSTS文件
    • 如果你認為自己可能被DNS劫持,可以嘗試刪除hosts內容嘗試擺脫這種情況
  4. 檢查DNS服務器更改
  5. 關閉不需要的DNS解析器
  6. 修補已知漏洞
  7. 使用加密的VPN通道
  8. 網站擁有者可採取預防措施避免DNS重定向其DNS記錄:
    • 安全訪問 :訪問DNS時,使用雙重身分認證,並定義允許訪問DNS設置的白名單
    • 客戶端鎖定:確認DNS供應商是否有支持客戶端鎖定,防止沒有經過特定指定人的批准下去更改DNS紀錄
    • DNSSEC:使用有 DNSSEC功能的DNS ,並且啟用。DNSSEC對DNS通信進行數位簽名,讓駭客不容意攔截和欺騙

資料參考來源:

https://www.keycdn.com/support/dns-spoofing (第一張圖的來源)
https://juejin.im/post/5cff858a6fb9a07ed84238ec#heading-10
https://antivirusinsider.com/prevent-dns-hijacking/
https://www.weiwenku.org/d/110013651 (第二章圖的來源)


上一篇
[遲]Day 18 網頁劫持
下一篇
【遲】Day 20 Http/Https劫持
系列文
不小心飛進資安之旅(學習筆記)20

尚未有邦友留言

立即登入留言