什么是DNS劫持攻击以及如何阻止它们?
人们常常将DNS劫持攻击与高度复杂的国家赞助的黑客联系起来,这些黑客进入具有国家安全级别重要性的组织系统。这不是一件可以与穿着连帽衫的少年联系起来的东西,这个少年正在躲避母亲地下室的舒适。但这真的难以实现吗?要回答这个问题,我们需要弄清楚DNS劫持攻击是如何工作的,但在我们做到这一点之前,我们必须首先了解DNS是什么。
Table of Contents
什么是DNS?
DNS代表域名系统,如果你说它是使互联网流动的东西之一,你就不会遥远。您可以将DNS视为19世纪末20世纪初电话交换机中的运营商。
在基本术语中,浏览网站意味着访问存储在服务器上的文件集合,如果您的浏览器要阅读它们,则需要知道它们的位置。域名系统具有该信息。每当您想要访问特定网站时,您将其域名输入到地址栏中,您的浏览器会向DNS发送请求,系统会通过说出任何给定的连接到互联网的数百万台服务器中的哪一台进行响应时间有您正在寻找的信息。你可能已经看到,如果DNS受到威胁,事情可能会出现多么严重的错误。
黑客如何打破DNS?
如果要使用域名,则需要正确配置其DNS设置。 DNS设置本质上是一组用于不同目的的记录。例如,所谓的“A记录”包含网站文件所在的服务器的IP地址,“MX记录”存储有关域上电子邮件交换的资源的信息。
通常,只有域的所有者(也称为注册人)可以通过销售域名的组织(通常是所谓的注册商)提供服务的管理面板访问这些设置。
但是,有时网络犯罪分子会设法访问DNS设置,当他们这样做时,他们可以修改所有记录并执行各种恶意活动。例如,他们可以更改A记录并将域指向他们控制的服务器。这样,每个试图访问目标网站的人都会在骗子的服务器上收到恶意软件或不受欢迎的广告。如果犯罪分子在恶意服务器上设置了一个令人信服的网络钓鱼页面,他们可以轻松获取登录凭据,而且很可能用户不会更聪明,因为他们在地址栏中看到的URL将是正确的。这些只是DNS劫持提供的一些机会。
正如我们已经提到的,可能性的多样性使DNS劫持成为所谓的高级持续威胁(APT)小组的完美目标。但这是否意味着撤销DNS劫持攻击特别困难?
是否为间谍和国家赞助的黑客保留了DNS劫持?
思科的Talos团队最近报道了他们称为海龟的DNS劫持攻击。该活动于2017年初开始,一直持续到今年第一季度. 它的目标是中东和北非的政府,军队和工业组织,思科的研究人员认为,一个由国家主办的高度积极参与者组成的团队对此负责。
正如专家指出的那样,海龟背后的人似乎特别厚颜无耻,他们使用的一些技术非常聪明。但是,它们都与实际的DNS劫持无关。
思科指出,海龟黑客设法通过破坏域名所有者或注册商来获取目标域名的DNS设置。最初的入口点是通过利用已知的代码注入或代码执行漏洞或通过鱼叉式网络钓鱼电子邮件提供的。有了正确的信息,修改DNS设置并不困难。
换句话说,成功的DNS劫持攻击并不依赖于高水平的复杂性或坚实的财务支持。以同样的方式,您可以采取任何措施保护域名的DNS设置。只需定期修补软件,使用强密码,并确保不要点击电子邮件中的任何随机链接。