什么是全球?DNS?劫持威脅？包括 Tripwire、FireEye 和 Mandiant 在內(nèi)的主要網(wǎng)絡安全公司的專家報告了全球范圍內(nèi)發(fā)生的令人震驚的大規(guī)模?DNS 劫持攻擊浪潮。這些攻擊的目標是中東、歐洲、北非和北美的政府、電信和互聯(lián)網(wǎng)實體。研究人員尚未公開確定被攻擊的站點，但承認被入侵的域數(shù)量有幾十個。這些攻擊至少自 2017 年以來一直在發(fā)生，與之前被盜的憑據(jù)結(jié)合使用，將用戶引導至旨在竊取登錄憑據(jù)和其他敏感信息的虛假網(wǎng)站。

盡管沒有人認為這些襲擊是罪魁禍首，但許多專家認為這些襲擊來自伊朗。幾個攻擊者的IP 地址可以追溯到伊朗。雖然攻擊者有可能通過欺騙伊朗的 IP 來散發(fā)氣味，但攻擊的目標似乎也指向伊朗。目標包括幾個中東國家的政府網(wǎng)站，這些網(wǎng)站包含沒有任何財務價值但對伊朗政府非常有價值的數(shù)據(jù)。

這些 DNS 劫持攻擊是如何運作的？

有幾種不同的攻擊策略正在執(zhí)行，但攻擊流程如下：

1. 攻擊者創(chuàng)建了一個虛擬站點，其外觀和感覺就像他們所針對的站點。
2. 攻擊者使用有針對性的攻擊（例如魚叉式網(wǎng)絡釣魚）來獲取目標站點DNS*提供商管理面板的登錄憑據(jù)。
3. 然后攻擊者進入 DNS 管理面板并更改他們所針對的站點的DNS 記錄（這稱為DNS 劫持），以便嘗試訪問該站點的用戶將被發(fā)送到虛擬站點。
4. 攻擊者偽造TLS 加密證書，使用戶的瀏覽器相信虛擬站點是合法的。
5. 毫無戒心的用戶轉(zhuǎn)到受感染站點的 URL 并被重定向到虛擬站點。
6. 然后用戶嘗試登錄虛擬站點，攻擊者會獲取他們的登錄憑據(jù)。

*域名系統(tǒng) (DNS) 就像 Internet 的電話簿。當用戶在瀏覽器中鍵入一個 URL（例如“google.com”）時，其在 DNS 服務器中的記錄會將用戶定向到 Google 的原始服務器。如果這些 DNS 記錄被篡改，用戶最終可能會到達他們意想不到的地方。

如何防止 DNS 劫持攻擊？

在這些類型的攻擊中，個人用戶無法保護自己免于丟失憑據(jù)。如果攻擊者在創(chuàng)建他們的虛擬站點時足夠徹底，即使是技術(shù)嫻熟的用戶也很難發(fā)現(xiàn)差異。

緩解這些攻擊的一種方法是讓 DNS 提供商加強他們的身份驗證，采取諸如要求因素身份驗證之類的措施，這將使攻擊者更難訪問 DNS 管理面板。瀏覽器還可以更新他們的安全規(guī)則，例如檢查TLS 證書的來源，以確保它們來自符合它們正在使用的域的來源。