近期发现adobe.com,internet.com,nike.com,等等著名站点都分分遭受到攻击,但攻击者所使用的技术并不是以往所使用的入侵WEB服务器,更改主页的惯用手法,攻击者使用的是一种域名劫持攻击?攻击者通过冒充原域名拥有者以E-MAIL方式修改网络解决方案公司的注册域名记录,将域名转让到另一团体,通过在修改后注册信息所指定的DNS服务器加进该域名记录,让原域名指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。 * n3 Z/ v0 l$ o: u( A! B e
$ a5 ]: p0 w* m o/ ~8 _ 那攻击者到底是怎样实施该域名劫持攻击的呢?
4 B& o+ x# o1 p6 H9 S0 n
% h% L7 e' N3 H" Q7 c3 h 1.获得要劫持的域名注册信息 T4 e2 } L, R6 |5 ]- |
4 E. i8 [, J: d1 S, i
攻击者会先访问网络解决方案公司www.networksolutions.com,通过该公司主页面所提供的MAKECHANGES功能,输入要查询的域名,获得该域名注册信息以abc.com为例,我们将获得以下信息: / g! g5 d+ L/ {3 P7 g( M( Q
Registrant:
D( r' N" u V( X: v0 aCapitalCities/ABC,Inc(ABC10-DOM)
b+ c4 x0 @( X2 P: a! \' C77W66thSt.
. O7 p5 c3 |# g! P8 {' ]NewYork,NY10023 0 u M9 G3 \8 \2 b0 z; h
US
! c, U0 R1 K% Q* ]) u) Q
7 L% L7 _7 [0 L2 eDomainName:ABC.COM 3 S4 ~' K B, O) a- M
0 s+ I+ L0 k" JAdministrativeContact,BillingContact:
; X" a& e8 K+ t) n* d" ZKing,ThomasC.(SC3123-ORG)abc.legal.internet.registration@ABC.COM 5 r( B& Q3 W+ c; l/ w; _
ABC,Inc. , B* z# |, X) M( f4 A d
77W66thSt.
$ l+ G5 M8 j+ I) o; K7 mNewYork,NY10023
, h [2 y3 y. _" {; N# I+ NUS
+ v4 q" L+ x! F0 F: c' E212-456-7012
' f# }$ ~ L9 h1 w) GTechnicalContact,ZoneContact:
5 P/ _# T; T* @8 j2 B: VDomainAdministrator(DA4894-ORG)dns-admin@STARWAVE.COM : U4 G. P0 ~, F5 r- o( N# u9 J+ M: ]
StarwaveCorporation
2 F) u7 \# x3 ?5 A0 [13810SEEastgateWay,ste.400
8 R; h4 a+ f1 h' L5 tBellevue,WA98005
* t4 I1 }) y' c& P4 GUS 5 r5 w. n! B( }- B& Y4 i
206.664.4800 $ R) |* D( |5 X) k
Fax-206.664.4829 % E) f/ T# M. g5 `+ i- K/ G, p# A
3 M7 g5 b) E/ I5 W6 A) |# ^Recordlastupdatedon11-Oct-2000.
- E6 t2 Q+ X3 h, j# ?, mRecordexpireson23-May-2003.
: y+ R9 g6 a2 k) URecordcreatedon22-May-1996.
- i8 R, V' j7 X& lDatabaselastupdatedon20-Oct-200014:14:26EDT.
9 P# J8 z* d) H, b% @, \( @2 L( s3 q$ T0 C" G# f& t4 @0 X" D
Domainserversinlistedorder: & E1 |. o# E5 i# M* c
5 i) W( f8 y$ c8 o; M2 j* q
DNS1.STARWAVE.COM204.202.132.51
. n3 i7 G! D Z8 B3 wT.NS.VERIO.NET192.67.14.16 / B# l' S0 ^8 W& g
, l5 X' u# E$ E0 Q1 y0 d' }
2.控制该管理域名的E-MAIL帐号
+ a5 G+ ?9 C, T
4 }; i8 Z8 `3 q. i+ W/ L, o+ Y 从上面获得的信息,攻击者可了解到abc.com的注册DNS服务器,管理域名的E-MAIL帐号,技术联系E-MAIL帐号等等注册资料,攻击者的重点就是先需要把该管理域名的E-MAIL帐号abc.legal.internet.registration@ABC.COM控制,进行收发在网络解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL,对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测,对该帐号所在E-MAIL服务器进行入侵攻击.
+ A6 i- b" u7 _2 D2 Z
8 e: c7 T# y& S" d3 b. y; U6 e 3.修改该域名在网络解决方案公司的注册信息% h. K" f( ^. y
. B' c, g# z- o( P 到这个时候,攻击者会使用网络解决方案公司networksolutions的MAKECHANGES功能修改该域名的注册信息,包括拥有者信息,DNS服务器信息,等等。
+ j$ @/ L- u; [2 r( b9 Q% J; N/ l0 g
4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函 ' }$ e7 s0 C' s0 e! F( S4 g
# R+ s7 ^6 j; X& U* I/ U. c% N! Z
攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前,把该E-MAIL帐号的信件接收,使用该E-MAIL帐号回复网络解决方案公司进行确认,进行二次回复确认后,将收到网络解决方案公司发来的成功修改注册记录函,攻击者成功劫持域名。 % l2 G- n& i/ j( g. C T! h
5 E m; p, z5 F y* r# ` ~. h 5.在新指定的DNS服务器加进该域名记录
) d+ g( F [+ r" E/ e
' p. w2 t% g8 |4 P4 e8 P9 E4 R 在注册信息新指定DNS服务器里加进该域名的PTR记录,指向另一IP的服务器,通常那两台服务器都是攻击者预先入侵控制的服务器,并不归攻击者所拥有。 |
|