什麼是DNS劫持攻擊以及如何阻止它們?
人們常常將DNS劫持攻擊與高度複雜的國家贊助的黑客聯繫起來,這些黑客進入具有國家安全級別重要性的組織系統。這不是一件可以與穿著連帽衫的少年聯繫起來的東西,這個少年正在躲避母親地下室的舒適。但這真的難以實現嗎?要回答這個問題,我們需要弄清楚DNS劫持攻擊是如何工作的,但在我們做到這一點之前,我們必須首先了解DNS是什麼。
Table of Contents
什麼是DNS?
DNS代表域名系統,如果你說它是使互聯網流動的東西之一,你就不會遙遠。您可以將DNS視為19世紀末20世紀初電話交換機中的運營商。
在基本術語中,瀏覽網站意味著訪問存儲在服務器上的文件集合,如果您的瀏覽器要閱讀它們,則需要知道它們的位置。域名系統具有該信息。每當您想要訪問特定網站時,您將其域名輸入到地址欄中,您的瀏覽器會向DNS發送請求,系統會通過說出任何給定的連接到互聯網的數百萬台服務器中的哪一台進行響應時間有您正在尋找的信息。你可能已經看到,如果DNS受到威脅,事情可能會出現多麼嚴重的錯誤。
黑客如何打破DNS?
如果要使用域名,則需要正確配置其DNS設置。 DNS設置本質上是一組用於不同目的的記錄。例如,所謂的“A記錄”包含網站文件所在的服務器的IP地址,“MX記錄”存儲有關域上電子郵件交換的資源的信息。
通常,只有域的所有者(也稱為註冊人)可以通過銷售域名的組織(通常是所謂的註冊商)提供服務的管理面板訪問這些設置。
但是,有時網絡犯罪分子會設法訪問DNS設置,當他們這樣做時,他們可以修改所有記錄並執行各種惡意活動。例如,他們可以更改A記錄並將域指向他們控制的服務器。這樣,每個試圖訪問目標網站的人都會在騙子的服務器上收到惡意軟件或不受歡迎的廣告。如果犯罪分子在惡意服務器上設置了一個令人信服的網絡釣魚頁面,他們可以輕鬆獲取登錄憑據,而且很可能用戶不會更聰明,因為他們在地址欄中看到的URL將是正確的。這些只是DNS劫持提供的一些機會。
正如我們已經提到的,可能性的多樣性使DNS劫持成為所謂的高級持續威脅(APT)小組的完美目標。但這是否意味著撤銷DNS劫持攻擊特別困難?
是否為間諜和國家贊助的黑客保留了DNS劫持?
思科的Talos團隊最近報導了他們稱為海龜的DNS劫持攻擊。該活動於2017年初開始,一直持續到今年第一季度. 它的目標是中東和北非的政府,軍隊和工業組織,思科的研究人員認為,一個由國家主辦的高度積極參與者組成的團隊對此負責。
正如專家指出的那樣,海龜背後的人似乎特別厚顏無恥,他們使用的一些技術非常聰明。但是,它們都與實際的DNS劫持無關。
思科指出,海龜黑客設法通過破壞域名所有者或註冊商來獲取目標域名的DNS設置。最初的入口點是通過利用已知的代碼注入或代碼執行漏洞或通過魚叉式網絡釣魚電子郵件提供的。有了正確的信息,修改DNS設置並不困難。
換句話說,成功的DNS劫持攻擊並不依賴於高水平的複雜性或堅實的財務支持。以同樣的方式,您可以採取任何措施保護域名的DNS設置。只需定期修補軟件,使用強密碼,並確保不要點擊電子郵件中的任何隨機鏈接。
