近期发现adobe.com,internet.com,nike.com,等等著名站点都分分遭受到攻击,但攻击者所使用的技术并不是以往所使用的入侵WEB服务器,更改主页的惯用手法,攻击者使用的是一种域名劫持攻击?攻击者通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录,将域名转让到另一团体,通过在修改后注册信息所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。 % Q2 N4 \0 \% |) G
" D& |! m$ z/ M; _0 E4 j1 a c 那攻击者到底是怎样实施该域名劫持攻击的呢? 5 l! y8 V5 @" E- H; |( T
( z8 |! A& ~% {! t
1.获得要劫持的域名注册信息 ! b5 _# z9 `6 W% V# B* [5 X
( T; O! w: o, q" w9 H3 D6 ^
攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的MAKECHANGES功能,输入要查询的域名,获得该域名注册信息以abc.com为例,我们将获得以下信息: ) F8 G% P( ?8 _' l5 C3 a
Registrant: / s% E- c3 F$ c# G$ }
CapitalCities/ABC,Inc(ABC10-DOM) - d) c3 O3 b/ f6 r+ d. ^. a
77W66thSt. % ]: E. _5 R1 a/ U( c# L8 }
NewYork,NY10023
! S) E9 w+ B3 |' _; N- BUS / ]1 U) R) a. ] {9 k c0 }
( F- i$ G- V* r+ M. t" RDomainName:ABC.COM & L e* k+ T# M" D! e! J$ W
8 D& u+ s5 R( J0 R0 {
AdministrativeContact,BillingContact:
( Y F- e9 `: _2 s6 FKing,ThomasC.(SC3123-ORG)abc.legal.internet.registration@ABC.COM
, c1 [' s: k$ P) Y( q, C: z7 ]1 iABC,Inc.
& R% y6 s6 i* J5 l1 i& T" L77W66thSt.
7 T2 ~( N5 H1 x* nNewYork,NY10023
: S q3 Z* u9 w b6 hUS
6 R; o2 @4 B- v+ e* S. s* ?% I0 v212-456-7012
+ V- F! S( u4 |( M1 k( l; pTechnicalContact,ZoneContact:
. v1 W$ o: P; Q9 x/ E; JDomainAdministrator(DA4894-ORG)dns-admin@STARWAVE.COM
x: r: a" y7 T% OStarwaveCorporation
9 b4 o& ~% e* \9 r8 e13810SEEastgateWay,ste.400 : j! l( p$ Y" F
Bellevue,WA98005 . \' P5 k+ h6 P. q3 |# m
US z! `3 Y s a9 N
206.664.4800
2 E5 c) q9 k' g% d, k4 pFax-206.664.4829
2 }7 `5 T" u9 O9 T9 P* g0 E
9 G/ N6 {, |! e- p7 l* `Recordlastupdatedon11-Oct-2000. # `! o j/ a* t$ H! ]8 x
Recordexpireson23-May-2003.
# i7 s' v# {4 I+ v3 ?Recordcreatedon22-May-1996.
5 h1 {5 V* X( I- XDatabaselastupdatedon20-Oct-200014:14:26EDT. + i, I2 W& ?% ~ V2 `3 K2 h# {
$ S! @0 S. u1 x2 A
Domainserversinlistedorder:
' S; ~3 o" A; L/ }2 T2 y, H% c. v: m3 P9 F
DNS1.STARWAVE.COM204.202.132.51 % ~( ?* h0 `3 l+ Q3 P; y
T.NS.VERIO.NET192.67.14.16 8 { H" ^/ O! D! y
; F6 C+ O1 v( u( r# `: I
2.控制该管理域名的E-MAIL帐号 + c) R( X7 @1 M `9 m
$ F- f2 R3 Z) y$ m+ d- t7 b 从上面获得的信息,攻击者可了解到abc.com的注册DNS服务器,管理域名的E-MAIL帐号,技术联系E-MAIL帐号等等注册资料,攻击者的重点就是先需要把该管理域名的E-MAIL帐号abc.legal.internet.registration@ABC.COM控制,进行收发在网络解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测,对该帐号所在E-MAIL服务器进行入侵攻击.
5 \# q8 {+ b5 L* ]- v; S& f+ N$ k( n* p$ l; \6 p1 |$ {/ q
3.修改该域名在网络解决方案公司的注册信息8 n3 `2 V# j# q2 {" `8 ]
8 ~( c7 v. _6 _! p2 x& }0 x9 P6 G
到这个时候,攻击者会使用网络解决方案公司networksolutions的MAKECHANGES功能修改该域名的注册信息,包括拥有者信息,DNS服务器信息,等等。1 l- i( M+ ]0 i- }
1 x3 `* G- c9 H1 @$ y* E
4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函
- R2 M2 }" s" w6 ~; Q- y7 G" E4 o% V8 T
攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前,把该E-MAIL帐号的信件接收,使用该E-MAIL帐号回复网络解决方案公司进行确认,进行二次回复确认后,将收到网络解决方案公司发来的成功修改注册记录函,攻击者成功劫持域名。 - N, V+ m( U" X/ y% S
& @: l5 Z! m4 L% Z9 G 5.在新指定的DNS服务器加进该域名记录 2 l, E4 K. e& b7 `$ U& {
" @4 b' a! p/ d 在注册信息新指定DNS服务器里加进该域名的PTR记录,指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。 |
|