近期发现adobe.com,internet.com,nike.com,等等著名站点都分分遭受到攻击,但攻击者所使用的技术并不是以往所使用的入侵WEB服务器,更改主页的惯用手法,攻击者使用的是一种域名劫持攻击?攻击者通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录,将域名转让到另一团体,通过在修改后注册信息所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。
2 t& @! J5 a% s7 p; `6 h" Q$ a# G, f
# R0 M1 Q8 a& w4 J 那攻击者到底是怎样实施该域名劫持攻击的呢? " n8 {+ w; L0 c. k3 G8 w" d
% C- d* X" N9 i& x: ~
1.获得要劫持的域名注册信息 $ k8 o4 R+ X- l9 y5 l: W7 W7 D
6 Y7 d9 r4 A; V+ Z- J
攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的MAKECHANGES功能,输入要查询的域名,获得该域名注册信息以abc.com为例,我们将获得以下信息: , m7 b" D3 w* D% ^( k$ f% g
Registrant:
" O, t+ S" ^! l( bCapitalCities/ABC,Inc(ABC10-DOM)
! m/ g2 R8 X% A2 \3 p5 Y6 V8 ~' T77W66thSt.
" _" S9 z& [- a- G( X' t1 ?NewYork,NY10023 6 n- x+ ^/ x! \
US 8 a7 i% y1 N" s7 n8 k' J/ ], p
+ d* A2 F; m1 V/ Y; j7 {/ tDomainName:ABC.COM
1 f& U% P$ d% [ T7 l- ^; e; h2 U) M, r/ P1 q0 W8 v
AdministrativeContact,BillingContact:
$ C6 E0 C3 ?3 J' KKing,ThomasC.(SC3123-ORG)abc.legal.internet.registration@ABC.COM
3 H* ~4 Z) N3 v# h' t, D, yABC,Inc.
+ n9 E1 d$ b5 C$ C" |77W66thSt. " j$ n' K1 z$ N: u( E$ {
NewYork,NY10023 $ V& K9 e$ O: g" W
US
* R" x' K+ L. ^8 a z212-456-7012
5 X0 E" F- j8 j* p. @# ?TechnicalContact,ZoneContact:
( C6 b2 y$ G$ nDomainAdministrator(DA4894-ORG)dns-admin@STARWAVE.COM K0 s% N& q( M; f: O8 S
StarwaveCorporation ( n) T3 K a5 ?
13810SEEastgateWay,ste.400
6 c0 {7 K2 q& {6 J- oBellevue,WA98005
9 }: a1 e. y9 V' b7 SUS
" A/ u+ a: v/ Y+ J+ h* t206.664.4800 0 W1 d7 T; H' j! a
Fax-206.664.4829 ' q2 X& x5 ^# P* i
+ p4 B, @/ ?' D. F
Recordlastupdatedon11-Oct-2000.
5 Y% H! e5 ~6 t8 jRecordexpireson23-May-2003. 3 R6 N7 K: N6 e/ t
Recordcreatedon22-May-1996.
. C! \: d+ Z# h) gDatabaselastupdatedon20-Oct-200014:14:26EDT. - L6 Y; ^0 U! |6 e( q
; Q$ V H8 M, f: Y
Domainserversinlistedorder: 6 d5 [- @, A4 F X
& ^4 p Y) Q. s" p; W& T0 r% J
DNS1.STARWAVE.COM204.202.132.51 * J8 X$ X* w1 _9 Z C
T.NS.VERIO.NET192.67.14.16 # R* u: e6 X5 I
, {6 z' O) I& N' I( ^( ?1 `. q
2.控制该管理域名的E-MAIL帐号 " {( U. R9 ^/ W% ~
% Z; C( B4 F8 ]* Z7 ~ 从上面获得的信息,攻击者可了解到abc.com的注册DNS服务器,管理域名的E-MAIL帐号,技术联系E-MAIL帐号等等注册资料,攻击者的重点就是先需要把该管理域名的E-MAIL帐号abc.legal.internet.registration@ABC.COM控制,进行收发在网络解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测,对该帐号所在E-MAIL服务器进行入侵攻击. 7 J: k' j9 c+ ]- N, V
! E4 ^( P( Z. M* \" A7 q) T4 y5 y 3.修改该域名在网络解决方案公司的注册信息) y( O9 |* s! k/ c% p
& Y4 v' @: F' Q" i, X
到这个时候,攻击者会使用网络解决方案公司networksolutions的MAKECHANGES功能修改该域名的注册信息,包括拥有者信息,DNS服务器信息,等等。
& E u/ P1 g6 a6 u
: X: W( L; W# _0 P4 H+ Z# \0 U3 X' c 4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函 : h3 F$ E- E) H1 ]1 Z& c. P( ]
0 k1 Z; y7 k$ j3 L0 H; ? 攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前,把该E-MAIL帐号的信件接收,使用该E-MAIL帐号回复网络解决方案公司进行确认,进行二次回复确认后,将收到网络解决方案公司发来的成功修改注册记录函,攻击者成功劫持域名。 ( C% i2 b; X) J v
' q5 Z6 v4 k8 ] 5.在新指定的DNS服务器加进该域名记录
3 y* Y6 F/ r! j: S" b
# O, s0 u9 V( K# M5 z) J3 u& R 在注册信息新指定DNS服务器里加进该域名的PTR记录,指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。 |
|
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
- [5 Z' d/ X* ?+ E* K
5 Y* M$ S6 B8 H: l/ R. b
1 g" @2 I; z9 [. c3 T4 n6 o# ~
" h4 t2 w7 ?! y6 c+ `% {
- F+ Q5 B& c9 N" z+ \5 t9 t
2 \$ e* a, {) j. |
. H, T! t+ u, X3 {, m3 n; z
y" p( ]1 I5 m1 I0 H4 D
$ S& g$ W z) I. X! O: L# j
* c9 g5 f" D! t2 |
