功能變數名稱劫持
出自 MBA智库百科(https://wiki.mbalib.com/)
功能變數名稱劫持(Domain name hijacking)
目錄 |
功能變數名稱劫持是指是互聯網攻擊的一種方式,通過攻擊功能變數名稱解析伺服器(DNS),或偽造功能變數名稱解析伺服器(DNS)的方法,把目標網站功能變數名稱解析到錯誤的地址從而實現用戶無法訪問目標網站的目的。
功能變數名稱解析(DNS)的基本原理是把網路地址(功能變數名稱,以一個字元串的形式)對應到真實的電腦能夠識別的網路地址(IP地址,比如216.239.53.99 這樣的形式),以便電腦能夠進一步通信,傳遞網址和內容等。
由於功能變數名稱劫持往往只能在特定的被劫持的網路範圍內進行,所以在此範圍外的功能變數名稱伺服器(DNS)能夠返回正常的IP地址,高級用戶可以在網路設置把DNS指向這些正常的功能變數名稱伺服器以實現對網址的正常訪問。所以功能變數名稱劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該功能變數名稱的真實IP地址,則可以直接用此IP代替功能變數名稱後進行訪問。比如訪問谷歌 ,可以把訪問改為http://216.239.53.99/ ,從而繞開功能變數名稱劫持。
由於功能變數名稱劫持只能在特定的網路範圍內進行,所以範圍外的功能變數名稱伺服器(DNS)能返回正常IP地址。攻擊者正是利用此點在範圍內封鎖正常DNS的IP地址,使用功能變數名稱劫持技術,通過冒充原功能變數名稱以E-MAIL方式修改公司的註冊功能變數名稱記錄,或將功能變數名稱轉讓到其他組織,通過修改註冊信息後在所指定的DNS伺服器加進該功能變數名稱記錄,讓原功能變數名稱指向另一IP的伺服器,讓多數網民無法正確訪問,從而使得某些用戶直接訪問到了惡意用戶所指定的功能變數名稱地址,其實施步驟如下:
1、獲取劫持功能變數名稱註冊信息:首先攻擊者會訪問功能變數名稱查詢站點,通過MAKE CHANGES功能,輸入要查詢的功能變數名稱以取得該功能變數名稱註冊信息。
2、控制該功能變數名稱的E-MAIL帳號:此時攻擊者會利用社會工程學或暴力破解學進行該E-MAIL密碼破解,有能力的攻擊者將直接對該E-MAIL進行入侵行為,以獲取所需信息。
3、修改註冊信息:當攻擊者破獲了E-MAIL後,會利用相關的MAKE CHANGES功能修改該功能變數名稱的註冊信息,包括擁有者信息,DNS伺服器信息等。
4、使用E-MAIL收發確認函:此時的攻擊者會在信件帳號的真正擁有者之前,截獲網路公司回饋的網路確認註冊信息更改件,併進行回件確認,隨後網路公司將再次回饋成功修改信件,此時攻擊者成功劫持功能變數名稱。
不管使用哪種DNS,遵循以下最佳慣例:
1、在不同的網路上運行分離的功能變數名稱伺服器來取得冗餘性。
2、將外部和內部功能變數名稱伺服器分開(物理上分開或運行BIND Views)並使用轉發器(forwarders)。外部功能變數名稱伺服器應當接受來自幾乎任何地址的查詢,但是轉發器則不接受。它們應當被配置為只接受來自內部地址的查詢。關閉外部功能變數名稱伺服器上的遞歸功能(從根伺服器開始向下定位DNS記錄的過程)。這可以限制哪些DNS伺服器與Internet聯繫。
3、可能時,限制動態DNS更新。
4、將區域傳送僅限制在授權的設備上。
5、利用事務簽名對區域傳送和區域更新進行數字簽名。
6、隱藏運行在伺服器上的BIND版本。
7、刪除運行在DNS伺服器上的不必要服務,如FTP、telnet和HTTP。
8、在網路外圍和DNS伺服器上使用防火牆服務。將訪問限制在那些DNS功能需要的埠/服務上。
