什么是全球?DNS?劫持威脅？包括 Tripwire、FireEye 和 Mandiant 在內的主要網(wǎng)絡(luò )安全公司的專(zhuān)家報告了全球范圍內發(fā)生的令人震驚的大規模?DNS 劫持攻擊浪潮。這些攻擊的目標是中東、歐洲、北非和北美的政府、電信和互聯(lián)網(wǎng)實(shí)體。研究人員尚未公開(kāi)確定被攻擊的站點(diǎn)，但承認被入侵的域數量有幾十個(gè)。這些攻擊至少自 2017 年以來(lái)一直在發(fā)生，與之前被盜的憑據結合使用，將用戶(hù)引導至旨在竊取登錄憑據和其他敏感信息的虛假網(wǎng)站。

盡管沒(méi)有人認為這些襲擊是罪魁禍首，但許多專(zhuān)家認為這些襲擊來(lái)自伊朗。幾個(gè)攻擊者的IP 地址可以追溯到伊朗。雖然攻擊者有可能通過(guò)欺騙伊朗的 IP 來(lái)散發(fā)氣味，但攻擊的目標似乎也指向伊朗。目標包括幾個(gè)中東國家的政府網(wǎng)站，這些網(wǎng)站包含沒(méi)有任何財務(wù)價(jià)值但對伊朗政府非常有價(jià)值的數據。

這些 DNS 劫持攻擊是如何運作的？

有幾種不同的攻擊策略正在執行，但攻擊流程如下：

1. 攻擊者創(chuàng )建了一個(gè)虛擬站點(diǎn)，其外觀(guān)和感覺(jué)就像他們所針對的站點(diǎn)。
2. 攻擊者使用有針對性的攻擊（例如魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)）來(lái)獲取目標站點(diǎn)DNS*提供商管理面板的登錄憑據。
3. 然后攻擊者進(jìn)入 DNS 管理面板并更改他們所針對的站點(diǎn)的DNS 記錄（這稱(chēng)為DNS 劫持），以便嘗試訪(fǎng)問(wèn)該站點(diǎn)的用戶(hù)將被發(fā)送到虛擬站點(diǎn)。
4. 攻擊者偽造TLS 加密證書(shū)，使用戶(hù)的瀏覽器相信虛擬站點(diǎn)是合法的。
5. 毫無(wú)戒心的用戶(hù)轉到受感染站點(diǎn)的 URL 并被重定向到虛擬站點(diǎn)。
6. 然后用戶(hù)嘗試登錄虛擬站點(diǎn)，攻擊者會(huì )獲取他們的登錄憑據。

*域名系統 (DNS) 就像 Internet 的電話(huà)簿。當用戶(hù)在瀏覽器中鍵入一個(gè) URL（例如“google.com”）時(shí)，其在 DNS 服務(wù)器中的記錄會(huì )將用戶(hù)定向到 Google 的原始服務(wù)器。如果這些 DNS 記錄被篡改，用戶(hù)最終可能會(huì )到達他們意想不到的地方。

如何防止 DNS 劫持攻擊？

在這些類(lèi)型的攻擊中，個(gè)人用戶(hù)無(wú)法保護自己免于丟失憑據。如果攻擊者在創(chuàng )建他們的虛擬站點(diǎn)時(shí)足夠徹底，即使是技術(shù)嫻熟的用戶(hù)也很難發(fā)現差異。

緩解這些攻擊的一種方法是讓 DNS 提供商加強他們的身份驗證，采取諸如要求因素身份驗證之類(lèi)的措施，這將使攻擊者更難訪(fǎng)問(wèn) DNS 管理面板。瀏覽器還可以更新他們的安全規則，例如檢查T(mén)LS 證書(shū)的來(lái)源，以確保它們來(lái)自符合它們正在使用的域的來(lái)源。