近期发现adobe.com,internet.com,nike.com,等等著名站点都分分遭受到攻击,但攻击者所使用的技术并不是以往所使用的入侵WEB服务器,更改主页的惯用手法,攻击者使用的是一种域名劫持攻击?攻击者通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录,将域名转让到另一团体,通过在修改后注册信息所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。
& K& A y) j" S! y& M* n
3 M! f) y$ }, _& m) d, ]1 o 那攻击者到底是怎样实施该域名劫持攻击的呢? 9 \& E$ ~" R2 n4 p4 h) x
$ ~5 \. P( |9 j1 }- t 1.获得要劫持的域名注册信息
' u% J5 M3 ?) S6 s5 n$ h. X' k4 O8 F- P3 }7 O. S; \4 R
攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的MAKECHANGES功能,输入要查询的域名,获得该域名注册信息以abc.com为例,我们将获得以下信息:
/ } U& B% b' aRegistrant: # W0 g: z* o" M0 f# Q; t) v8 u
CapitalCities/ABC,Inc(ABC10-DOM)
& {8 t0 f( I5 |1 n' M77W66thSt. ' R4 Y4 r4 c6 w5 T, V! U
NewYork,NY10023
& R; v+ w j9 V. e% WUS
* L# M6 s) r" }: q; |3 `, N R2 v: N6 E. H O1 e
DomainName:ABC.COM ' I% q$ J. I) b1 o
* m& B! T6 [. c; P
AdministrativeContact,BillingContact: ) R9 b1 P$ W) {2 f# Q) P, X: F
King,ThomasC.(SC3123-ORG)abc.legal.internet.registration@ABC.COM
}1 F" D/ |$ J1 B! pABC,Inc.
# N# [. h$ I8 h) a77W66thSt.
% s: {. {8 ]- d8 Z& LNewYork,NY10023
* d7 K" E7 b; N. h1 ]% ]9 J: RUS
, y) }) @8 K. y: { g H212-456-7012 ' d# \3 e8 ?# W# _) V+ h
TechnicalContact,ZoneContact: 2 a7 H J! f( G, `0 w& B( I& _ Z8 c
DomainAdministrator(DA4894-ORG)dns-admin@STARWAVE.COM % d$ k0 K; T3 a$ Z
StarwaveCorporation
! x4 B; ^. a1 A1 k0 m2 Q. h: w' b. z13810SEEastgateWay,ste.400 8 k- ?) U; B9 |
Bellevue,WA98005
8 |4 | @9 X1 Q3 V; z" c1 C' U# tUS * C& I# M6 B9 a7 i, k
206.664.4800
( C. @9 G4 T) I" h( a. fFax-206.664.4829
) v7 X3 q, f, n$ l+ l* n: _+ C7 N2 E+ V& S- y
Recordlastupdatedon11-Oct-2000. / v8 }( p. n8 z- i) Y3 w2 N
Recordexpireson23-May-2003.
; z4 a5 S3 A# J; A5 jRecordcreatedon22-May-1996.
# s7 K" ^0 P! Y/ o* n# x: ADatabaselastupdatedon20-Oct-200014:14:26EDT.
, n6 P" p# ~- F+ ]' m. [; d- M/ c( f T9 d
Domainserversinlistedorder: - O$ p* |' j( Q; ]: n ~
6 L4 o' O2 Q- f6 Y A0 t' Q
DNS1.STARWAVE.COM204.202.132.51 2 O: m" k) n4 h+ J/ m( D z+ a
T.NS.VERIO.NET192.67.14.16
0 i: i8 f. S" _3 L( ~: t8 u- @1 B3 ]. c0 w; g5 B$ o+ c9 z
2.控制该管理域名的E-MAIL帐号
3 J7 D, d; u# p& l- i$ x
, d0 E! G5 P' D, P7 I& U: }. X 从上面获得的信息,攻击者可了解到abc.com的注册DNS服务器,管理域名的E-MAIL帐号,技术联系E-MAIL帐号等等注册资料,攻击者的重点就是先需要把该管理域名的E-MAIL帐号abc.legal.internet.registration@ABC.COM控制,进行收发在网络解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测,对该帐号所在E-MAIL服务器进行入侵攻击. ! r" m/ R5 Z0 l3 Q/ Q) ~! |- E' J- u
3 D8 ]: a2 ]: `7 O7 i0 B 3.修改该域名在网络解决方案公司的注册信息( z: f, |, ^/ {( h! G
' b; I. z* s7 U1 T
到这个时候,攻击者会使用网络解决方案公司networksolutions的MAKECHANGES功能修改该域名的注册信息,包括拥有者信息,DNS服务器信息,等等。5 Y6 }& j) w6 Q# f' r% X
9 [3 ]9 N( u, M- c7 F
4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函 7 g- [# a& t) e# d4 k% b @, M9 I
. F2 }% o4 a+ C" |. j- c; T. ~ 攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前,把该E-MAIL帐号的信件接收,使用该E-MAIL帐号回复网络解决方案公司进行确认,进行二次回复确认后,将收到网络解决方案公司发来的成功修改注册记录函,攻击者成功劫持域名。
2 a7 E. w1 N; n/ I% _5 K0 V+ ]6 n# C) W t" {
5.在新指定的DNS服务器加进该域名记录 ; b3 ^3 Q* e: J x7 f- V
; `4 k& T9 v$ z# ~
在注册信息新指定DNS服务器里加进该域名的PTR记录,指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。 |
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
* p/ S% }8 o2 r3 ?' ~/ N) W3 Y5 R
$ Q2 p; D- L( o
7 I1 F* l ]7 c/ i* ]/ K- S1 w+ R' x: j
4 @1 z! J5 Y( y% }# C7 j7 _, ?5 o/ _
' }) c b% P- l. u
7 `* P0 V( `8 V; v( x
1 l d. C. R+ T* w0 A( _
