|
近日波兰遭遇大规模DNS劫持攻击,黑客通过修改家用路由器DNS配置从而劫持用户请求,最终窃取了用户银行里的钱!类似DNS劫持手法应该会很快便延伸到国内,危及网民安全。
很多朋友收到此消息后给我们留言抛出这样的疑问:
1. 这个和去年的有什么不同?
2. 修改路由器dns劫持,国内已经有好多了,但是没听说过洗钱的。
3. 我只听说过能够dns劫持我的HTTP请求,HTTPS也不安全啊?
更多朋友所不知道的是,HTTPS加密请求也能嗅探到?
什么是HTTPS:
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任,那么黑客是怎么做到的嗅探HTTPS?
简单的说黑客为了绕过HTTPS,采用了SSL层剥离的技术,黑客阻止用户和使用HTTPS请求的网站之间建立SSL连接,使用户和代理服务器(攻击者所控服务器)之间使用了未加密的HTTP通信。
攻击细节
黑客(攻击者)使用了一款工具来实施攻击-SSLStrip,他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接,进行中间人劫持(类似于 ARP欺骗_百度百科 )。
SSLStrip的工作原理:
1. 进行中间人攻击来劫持HTTP请求流量。
2. 将出现的HTTPS链接全部替换为HTTP,同时记录所有改变的链接。
3. 使用HTTP与受害者机器链接。
4. 同时与合法的服务器建立HTTPS。
5. 受害者与合法服务器之间的全部通信请求经过代理(攻击者服务器)转发。
6. 完成劫持请求
[img][/img]有关波兰遭遇大规模DNS劫持用户网上银行的事件中,因为使用SSLStrip会提醒用户连接没有使用SSL加密,黑客为了迷惑用户,重写了URL,在域名前加了“ssl-.”的前缀,当然这个域名是不存在的,只能在黑客的恶意DNS才能解析。
[img][/img]这件事情的源头是因为ZynOS路由器出现漏洞,导致的大批量DNS劫持,有关ZynOS漏洞利用攻击代码已经在Github上有人放出来了,整个流程如下:
1. 攻击者批量劫持用户DNS
2. 重写URL迷惑用户
3. 使用SSLStrip进行请求劫持
4. 完成劫持
波兰这次事件主要是黑客利用路由漏洞进行了大范围DNS劫持然后使用sslstrip方法进行 嗅探,这次方法要比之前单纯的DNS劫持有趣的多,当然危害也大的多。
解决方案
这种攻击方式马上会在国内展开攻击,这种攻击往往不是基于服务端,特别是SSL Stripping技术,其攻击手法不是针对相应固件也不是利用固件漏洞,所以大家有必要好好看一下解决方案,真正的把DNS防御杜绝在门外!
检查DNS是否正常
拿TP-Link举例,浏览器访问192.168.1.1(一般是这个,除非你改了),输入账号密码登陆(默认账号密码在说明书上都有)-> 网络参数-> WAN口设置-> 高级设置-> 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。
如果你没有人工设置过,但勾选了,那就要警惕是否被黑客篡改了。 如果没勾选,一般情况下没有问题。 检查DNS IP是否正常:在百度上搜索下里面的DNS IP看看是不是国内的,如果是国外的则需要警惕了!除非是Google的8.8.8.8这个,看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况,有些正常DNS IP也会有人讨论质疑,这个需要大家自行判断一下,实在没把握就设置DNS IP如下: 主DNS服务器:114.114.114.114,备用DNS服务器为:8.8.8.8
关于其他品牌如何修改查看或者修改DNS的话,和上面步骤也差不多,实在找不到的话就百度一下,多方便。
如果发现被攻击的痕迹,重置路由器是个好办法,当然下面的步骤是必须的:
修改路由器Web登陆密码
路由器一般都会有Web管理页面的,这个管理界面的登陆密码记得一定要修改!一般情况下默认账号密码都是admin,把账号密码最好都修改的复杂点儿吧!
上面的步骤都是人工的,我们另外准备了工具(建议结合使用): DNS劫持恶意代码检测
开启计算机防火墙以及安装杀软也能有效的防御此类攻击。当然https还是安全的,只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候 ,注意网址左侧的证书颜色,绿色黄色红色分别代表不同级别!
| 
发表于 2014-9-27 21:28:08
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
