-
域名劫持
鎖定
- 中文名
- 域名劫持
- 外文名
- Domain name hijacking
- 解 釋
- 互聯網攻擊的一種方式
- 目 的
- 無法訪問目標網站
- 限 制
- 特定的被劫持的網絡範圍內
- 方 法
- 直接用此IP代替域名後進行訪問
域名劫持簡介
域名劫持定義
域名劫持一方面可能影響用户的上網體驗,用户被引到假冒的網站進而無法正常瀏覽網頁,而用户量較大的網站域名被劫持後惡劣影響會不斷擴大;另一方面用户可能被誘騙到冒牌網站進行登錄等操作導致泄露隱私數據。
域名劫持原理
域名解析(DNS)的基本原理是把網絡地址(域名,以一個字符串的形式)對應到真實的計算機能夠識別的網絡地址(IP地址,比如216.239.53.99 這樣的形式),以便計算機能夠進一步通信,傳遞網址和內容等。
由於域名劫持往往只能在特定的被劫持的網絡範圍內進行,所以在此範圍外的域名服務器(DNS)能夠返回正常的IP地址,高級用户可以在網絡設置把DNS指向這些正常的域名服務器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
域名劫持過程
由於域名劫持只能在特定的網絡範圍內進行,所以範圍外的域名服務器(DNS)能返回正常IP地址。攻擊者正是利用此點在範圍內封鎖正常DNS的IP地址,使用域名劫持技術,通過冒充原域名以E-MAIL方式修改公司的註冊域名記錄,或將域名轉讓到其他組織,通過修改註冊信息後在所指定的DNS服務器加進該域名記錄,讓原域名指向另一IP的服務器,讓多數網民無法正確訪問,從而使得某些用户直接訪問到了惡意用户所指定的域名地址,其實施步驟如下:
三、修改註冊信息:當攻擊者破獲了E-MAIL後,會利用相關的MAKE CHANGES功能修改該域名的註冊信息,包括擁有者信息,DNS服務器信息等。
域名劫持缺點
它不是很穩定,在某些網絡速度快的地方,真實的IP地址返回得比竊持軟件提供的假地址要快,因為監測和返回這麼巨大的數據流量也是要花費一定時間的。
參考資料:全球互聯網的13台DNS根服務器分佈
美國VeriSign公司 2台
歐洲網絡管理組織RIPE-NCC(Resource IP Europeens Network Coordination Centre) 1台
美國PSINet公司 1台
美國ISC(Internet Software Consortium) 1台
美國馬里蘭大學(University of Maryland) 1台
美國太空總署(NASA) 1台
美國國防部 1台
美國陸軍研究所 1台
挪威NORDUnet 1台
域名劫持破解困境
域名劫持問題根源
DNS安全問題的根源在於Berkeley Internet Domain(BIND)。BIND充斥着過去5年廣泛報道的各種安全問題。VeriSign公司首席安全官Ken Silva説,如果您使用基於BIND的DNS服務器,那麼請按照DNS管理的最佳慣例去做。
域名劫持應對措施分析
SANS首席研究官Johannes認為:“目前的DNS存在一些根本的問題,最主要的一點措施就是堅持不懈地修補DNS服務器,使它保持最新狀態。”
Nominum公司首席科學家、DNS協議原作者Paul Mockapetris説,升級到BIND9.2.5或實現DNSSec,將消除緩存投毒的風險。不過,如果沒有來自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等廠商的DNS管理設備中提供的接口,完成這類遷移非常困難和耗費時間。一些公司,如Hushmail,選擇了用開放源代碼TinyDNS代替BIND。替代DNS的軟件選擇包括來自Microsoft、PowerDNS、JH Software以及其他廠商的產品。
域名劫持建議
不管您使用哪種DNS,請遵循以下最佳慣例:
1.在不同的網絡上運行分離的域名服務器來取得冗餘性。
2.將外部和內部域名服務器分開(物理上分開或運行BIND Views)並使用轉發器(forwarders)。外部域名服務器應當接受來自幾乎任何地址的查詢,但是轉發器則不接受。它們應當被配置為只接受來自內部地址的查詢。關閉外部域名服務器上的遞歸功能(從根服務器開始向下定位DNS記錄的過程)。這可以限制哪些DNS服務器與Internet聯繫。
3. 可能時,限制動態DNS更新。
4. 將區域傳送僅限制在授權的設備上。
5. 利用事務簽名對區域傳送和區域更新進行數字簽名。
6. 隱藏運行在服務器上的BIND版本。
8. 在網絡外圍和DNS服務器上使用防火牆服務。將訪問限制在那些DNS功能需要的端口/服務上。
讓註冊商承擔責任
域名劫持的問題從組織上着手解決也是重要的一環。不久前,有黑客詐騙客户服務代表修改了Hushmail的主域名服務器的IP地址。對於此時,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那麼容易就欺騙了其域名註冊商的客户服務代表,這的確令人惱火。
Smith説:“這件事對於我們來説真正糟透了。我希望看到註冊商制定和公佈更好的安全政策。但是,我找不出一家註冊商這樣做,自這件事發生後,我一直在尋找這樣的註冊商。”
Panix總裁Alex Resin在因註冊商方面的問題,導致1月Panix域名遭劫持時,也感受到了同樣強烈的不滿。首先,他的註冊商在沒有事先通知的情況下,將他的域名註冊賣給了一家轉銷商。然後,這家轉銷商又把域名轉移給了一個社會工程人員――同樣也沒有通知Resin。
Resin説:“域名系統需要系統的、根本的改革。現在有很多的建議,但事情進展的不夠快。”
1.要求您的註冊商拿出書面的、可執行的政策聲明。將如果需要轉移域名的話,要求他們及時與您聯繫的條款寫在書面文件中。
2.鎖定域名。這要求註冊商在得到解鎖的口令或其它身份信息後才允許轉移。
3. 使您保存在註冊商那裏的正式聯繫信息保持最新狀態。
4. 選擇提供24/7服務的註冊商,這樣他們可以在發生違規事件時迅速採取行動。
5. 如果發生未經授權的轉移,立即與有關注冊商聯繫。
針對DNS系統自身漏洞PacketScout GenieProDNS系統應對DNS劫持和DNS緩存中毒攻擊解決方法:
每個Geniepro節點將自身的DNS記錄發送給工作組內其他節點請求一致性檢查;每個Geniepro節點將自身的記錄與收到的記錄進行比較;每個Geniepro工作組的通信協調節點將獲得的DNS記錄更新發送給其他組的通信協調節點請求一致性檢查;每個Genipro工作組的通信協調節點向上一級DNS服務器請求更新記錄並與收到的其他通信協調節點的記錄進行比較。
一致性仲裁
如果一致性檢查發現記錄不一致情況,則根據策略(少數服從多數、一票否決等)決定是否接受記錄的變化。根據結果,各Geniepro節點將自身記錄進行統一通信協調節點選舉,選舉出的通信協調節點在任期內具有更新組內節點的權限,選舉過程滿足不可預測性和不可重複性。
域名劫持優勢與不足
DNS的全稱是Domain Name Server,一種程序,它保存了一張域名(domain name”和與之相對應的IP地址(IP address”的表,以解析消息的域名。域名是Internet上某一台計算機或計算機組的名稱,用於在數據傳輸時標識計算機的電子方位(有時也指地理位置)。域名是由一串用點分隔的名字組成的,通常包含組織名,而且始終包括兩到三個字母的後綴,以指明組織的類型或該域所在的國家或地區。
之所以域名解析不需要很長時間,是因為上網接入商,比如北京電信,河南電信等,為了要加速用户打開網頁的速度,通常在他們的DNS服務器中緩存了很多域名的DNS記錄。這樣這個接入商的用户要打開某個網頁時,接入商的服務器不需要去查詢域名數據庫,而是把自己緩存中的DNS記錄直接使用,從而加快用户訪問網站的速度。這是優點。
缺點是上網接入商ISP的緩存會存儲一段時間,只在需要的時候才更新,而更新的頻率沒有什麼標準。有的ISP可能1小時更新一次,有的可能長達一兩天才更新一次。
所以新註冊的域名一般來説解析反倒比較快。因為所有的ISP都沒有緩存,用户訪問時ISP都是要查詢域名數據庫,得到最新的DNS數據。
而老域名如果更改了DNS記錄,但世界各地的ISP緩存數據卻並不是立即更新的。這樣不同ISP下的不同用户,有的可以比較快的獲取新的DNS記錄,有的就要等ISP緩存的下一次更新。
域名劫持常見域名劫持現象
廣告劫持:用户正常頁面指向到廣告頁面。
惡意劫持:域名指向IP被改變,將用户訪問流量引到掛馬,盜號等對用户有害頁面的劫持。
- 參考資料
-
- 1. 域名劫持及數據劫持解決方案 - HTTPDNS - 阿里雲 .阿里雲[引用日期2022-06-26]