五步詳解域名劫持攻擊
企業網站往往是黑客入侵的首選目標,大型企業通常不惜重金打造網絡防御系統來避免黑客進攻。可是像耐克、因特爾這些重量級的網站紛紛遭到攻擊,攻擊者卻并沒有像以往一樣入侵WEB服務器,而是使用了一種被叫做域名劫持攻擊的方式進行的。
那攻擊者到底是怎樣實施該域名劫持攻擊的呢?
1.獲得要劫持的域名注冊信息
攻擊者會先訪問網絡解決方案公司www.networksolutions.com,通過該公司主頁面所提供的MAKE CHANGES功能,輸入要查詢的域名,獲得該域名注冊信息以abc.com為例,我們將獲得以下信息:
Registrant:
Capital Cities/ABC,Inc (ABC10-DOM)
77 W 66th St.
New York, NY 10023
US
Domain Name: ABC.COM
Administrative Contact, Billing Contact:
King, Thomas C. (SC3123-ORG) abc.legal.internet.registration@ABC.COM
ABC, Inc.
77 W 66th St.
New York, NY 10023
US
212-456-7012
Technical Contact, Zone Contact:
Domain Administrator (DA4894-ORG) dns-admin@STARWAVE.COM
Starwave Corporation
13810 SE Eastgate Way, ste. 400
Bellevue, WA 98005
US
206.664.4800
Fax- 206.664.4829
Record last updated on 11-Oct-2000.
Record expires on 23-May-2003.
Record created on 22-May-1996.
Database last updated on 20-Oct-2000 14:14:26 EDT.
Domain servers in listed order:
DNS1.STARWAVE.COM 204.202.132.51
T.NS.VERIO.NET 192.67.14.16
2.控制該管理域名的E-MAIL帳號
從上面獲得的信息,攻擊者可了解到abc.com的注冊DNS服務器,管理域名的E-MAIL帳號,技術聯系E-MAIL帳號等等注冊資料,攻擊者的重點就是先需要把該管理域名的E-MAIL帳號abc.legal.internet.registration@ABC.COM控制,進行收發在網絡解決方案公司networksolutions主頁所修改域名注冊記錄后的確認E-MAIL,對該E-MAIL帳號的控制過程不排除攻擊者對該E-MAIL帳號進行密碼暴力猜測,對該帳號所在E-MAIL服務器進行入侵攻擊.
3.修改該域名在網絡解決方案公司的注冊信息
到這個時候,攻擊者會使用網絡解決方案公司networksolutions的MAKE CHANGES功能修改該域名的注冊信息,包括擁有者信息,DNS服務器信息,等等。
4.冒充擁有者使用管理域名的E-MAIL帳號收發網絡解決方案公司確認函
攻擊者會在該管理域名E-MAIL帳號的真正擁有者收到網絡解決方案公司確認函之前,把該E-MAIL帳號的信件接收,使用該E-MAIL帳號回復網絡解決方案公司進行確認,進行二次回復確認后,將收到網絡解決方案公司發來的成功修改注冊記錄函,攻擊者成功劫持域名。
5.在新指定的DNS服務器加進該域名記錄
在注冊信息新指定DNS服務器里加進該域名的PTR記錄,指向另一IP的服務器,通常那兩臺服務器都是攻擊者預先入侵控制的服務器,并不歸攻擊者所擁有。
通過上述的五步,域名劫持攻擊就將大企業的網站成功攻破,希望通過揭示此類的攻擊方式,提醒企業注重網絡安全防護。
【編輯推薦】
