全球 DNS 劫持威脅

在一系列相關的攻擊中,駭客偽造 DNS 記錄,將使用者傳送旨在竊取登入認證和其他敏感性資訊的虛假網站。

學習目標

閱讀本文後,您將能夠:

  • 定義 DNS 劫持
  • 概述攻擊者如何使用 DNS 劫持來獲取登入認證
  • 說明 DNS 提供者和 Web 瀏覽器如何協助防止 DNS 劫持

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是全球 DNS 劫持威脅?

包括 Tripwire、FireEye 和 Mandiant 在內的主要網路安全公司的專家報告稱,在全球範圍內發生了驚人的 DNS 劫持攻擊浪潮。這些攻擊針對中東、歐洲、北非和北美的政府、電信和網際網路實體。

研究人員尚未公開確定受到針對的網站,但有數十個網域承認已遭到入侵。這些攻擊至少自 2017 年以來一直在發生,它們與之前被盜的認證結合使用,將使用者引導至旨在竊取登入認證和其他敏感性資訊的虛假網站。

儘管沒有人將這些攻擊歸因於於任何人,但許多專家認為這些攻擊來自伊朗。一些攻擊者的 IP 位址已追溯到伊朗。雖然攻擊者可能是在假裝為伊朗 IP 以擺脫追蹤,但攻擊的目標似乎也指向伊朗。目標包括幾個中東國家的政府網站,這些網站包含沒有任何經濟價值但對伊朗政府非常有價值的資料。

這些 DNS 劫持攻擊如何運作?

攻擊者執行幾種不同的攻擊策略,但攻擊流程如下:

  1. 攻擊者建立一個假網站,其外觀和感覺與他們要攻擊的目標網站相同。
  2. 攻擊者使用定向攻擊(例如魚叉式網路釣魚)來獲取目標網站的 DNS* 提供者的管理面板登入認證。
  3. 然後,攻擊者進入 DNS 管理面板,並變更攻擊目標網站的 DNS 記錄(這稱為 DNS 劫持 ),這樣,嘗試存取該網站的使用者將被傳送到該假網站。
  4. 攻擊者會偽造 TLS 加密憑證,引誘使用者的瀏覽器認為假網站是合法的。
  5. 毫無戒心的使用者轉到受感染網站的 URL,並被重新導向到假網站。
  6. 然後,使用者嘗試登入假網站,攻擊者將獲得其登入認證。
DNS 劫持

*Domain Name System (DNS) 就像網際網路的電話簿。當使用者在瀏覽器中輸入 URL(例如「google.com」)時,其在 DNS 伺服器中的記錄會將該使用者導向到 Google 的來源伺服器。如果這些 DNS 記錄遭到篡改,則使用者可能會遇到意外的情況。

如何防止 DNS 劫持攻擊?

在這些類型的攻擊中,單個使用者無法採取太多措施來保護自己避免丟失認證。如果攻擊者在建立其假網站時足夠徹底,那麼即使是技術嫻熟的使用者也很難發現差異。

緩解這些攻擊的一種方法是讓 DNS 提供者加強其驗證,採取諸如要求雙因素認證之類的措施,這將使攻擊者更難以存取 DNS 管理面板。瀏覽器還可以更新其安全規則,例如仔細檢查 TLS 憑證的來源,以確保它們源自與所使用網域相符的來源。