什么是全球?DNS?劫持威脅？包括 Tripwire、FireEye 和 Mandiant 在內(nèi)的主要網(wǎng)絡(luò)安全公司的專(zhuān)家報(bào)告了全球范圍內(nèi)發(fā)生的令人震驚的大規(guī)模?DNS 劫持攻擊浪潮。這些攻擊的目標(biāo)是中東、歐洲、北非和北美的政府、電信和互聯(lián)網(wǎng)實(shí)體。研究人員尚未公開(kāi)確定被攻擊的站點(diǎn)，但承認(rèn)被入侵的域數(shù)量有幾十個(gè)。這些攻擊至少自 2017 年以來(lái)一直在發(fā)生，與之前被盜的憑據(jù)結(jié)合使用，將用戶(hù)引導(dǎo)至旨在竊取登錄憑據(jù)和其他敏感信息的虛假網(wǎng)站。

盡管沒(méi)有人認(rèn)為這些襲擊是罪魁禍?zhǔn)?，但許多專(zhuān)家認(rèn)為這些襲擊來(lái)自伊朗。幾個(gè)攻擊者的IP 地址可以追溯到伊朗。雖然攻擊者有可能通過(guò)欺騙伊朗的 IP 來(lái)散發(fā)氣味，但攻擊的目標(biāo)似乎也指向伊朗。目標(biāo)包括幾個(gè)中東國(guó)家的政府網(wǎng)站，這些網(wǎng)站包含沒(méi)有任何財(cái)務(wù)價(jià)值但對(duì)伊朗政府非常有價(jià)值的數(shù)據(jù)。

這些 DNS 劫持攻擊是如何運(yùn)作的？

有幾種不同的攻擊策略正在執(zhí)行，但攻擊流程如下：

1. 攻擊者創(chuàng)建了一個(gè)虛擬站點(diǎn)，其外觀和感覺(jué)就像他們所針對(duì)的站點(diǎn)。
2. 攻擊者使用有針對(duì)性的攻擊（例如魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)）來(lái)獲取目標(biāo)站點(diǎn)DNS*提供商管理面板的登錄憑據(jù)。
3. 然后攻擊者進(jìn)入 DNS 管理面板并更改他們所針對(duì)的站點(diǎn)的DNS 記錄（這稱(chēng)為DNS 劫持），以便嘗試訪問(wèn)該站點(diǎn)的用戶(hù)將被發(fā)送到虛擬站點(diǎn)。
4. 攻擊者偽造TLS 加密證書(shū)，使用戶(hù)的瀏覽器相信虛擬站點(diǎn)是合法的。
5. 毫無(wú)戒心的用戶(hù)轉(zhuǎn)到受感染站點(diǎn)的 URL 并被重定向到虛擬站點(diǎn)。
6. 然后用戶(hù)嘗試登錄虛擬站點(diǎn)，攻擊者會(huì)獲取他們的登錄憑據(jù)。

*域名系統(tǒng) (DNS) 就像 Internet 的電話(huà)簿。當(dāng)用戶(hù)在瀏覽器中鍵入一個(gè) URL（例如“google.com”）時(shí)，其在 DNS 服務(wù)器中的記錄會(huì)將用戶(hù)定向到 Google 的原始服務(wù)器。如果這些 DNS 記錄被篡改，用戶(hù)最終可能會(huì)到達(dá)他們意想不到的地方。

如何防止 DNS 劫持攻擊？

在這些類(lèi)型的攻擊中，個(gè)人用戶(hù)無(wú)法保護(hù)自己免于丟失憑據(jù)。如果攻擊者在創(chuàng)建他們的虛擬站點(diǎn)時(shí)足夠徹底，即使是技術(shù)嫻熟的用戶(hù)也很難發(fā)現(xiàn)差異。

緩解這些攻擊的一種方法是讓 DNS 提供商加強(qiáng)他們的身份驗(yàn)證，采取諸如要求因素身份驗(yàn)證之類(lèi)的措施，這將使攻擊者更難訪問(wèn) DNS 管理面板。瀏覽器還可以更新他們的安全規(guī)則，例如檢查T(mén)LS 證書(shū)的來(lái)源，以確保它們來(lái)自符合它們正在使用的域的來(lái)源。