近期發(fā)現(xiàn)adobe.com，internet.com，nike.com，等等著名站點(diǎn)都分分遭受到攻擊，但攻擊者所使用的技術(shù)并不是以往所使用的入侵 WEB服務(wù)器，更改主頁(yè)的慣用手法，攻擊者使用的是一種域名劫持攻擊技術(shù)，攻擊者通過(guò)冒充原域名擁有者以E-MAIL方式修改網(wǎng)絡(luò)解決方案公司的注冊(cè)域名記錄，將域名轉(zhuǎn)讓到另一團(tuán)體，通過(guò)在修改后注冊(cè)信息所指定的DNS服務(wù)器加進(jìn)該域名記錄，讓原域名指向另一IP的服務(wù)器，通常那兩臺(tái)服務(wù)器都是攻擊者預(yù)先入侵控制的服務(wù)器，并不歸攻擊者所擁有。

　　那攻擊者到底是怎樣實(shí)施該域名劫持攻擊的呢？從攻擊者的過(guò)程來(lái)看，主要有5個(gè)步驟：

　　1.獲得要劫持的域名注冊(cè)信息

　　攻擊者會(huì)先訪問(wèn)網(wǎng)絡(luò)解決方案公司www.networksolutions.com，通過(guò)該公司主頁(yè)面所提供的MAKECHANGES功能，輸入要查詢的域名，獲得該域名注冊(cè)信息。并通過(guò)相關(guān)的攻擊手段，獲取更多的關(guān)于該網(wǎng)站的安全資料。

　　2.控制該管理域名的E-MAIL帳號(hào)

　　從上面獲得的信息，攻擊者可了解到abc.com的注冊(cè)DNS服務(wù)器，管理域名的E-MAIL帳號(hào)，技術(shù)聯(lián)系E-MAIL帳號(hào)等等注冊(cè)資料，攻擊者的重點(diǎn)就是先需要把該管理域名的E-MAIL帳號(hào)abc.legal.internet.registration@ABC.COM控制，進(jìn)行收發(fā)在網(wǎng)絡(luò)

　　解決方案公司networksolutions主頁(yè)所修改域名注冊(cè)記錄后的確認(rèn)E-MAIL，對(duì)該E-MAIL帳號(hào)的控制過(guò)程不排除攻擊者對(duì)該E-MAIL帳號(hào)進(jìn)行密碼暴力猜測(cè)，對(duì)該帳號(hào)所在E-MAIL服務(wù)器進(jìn)行入侵攻擊。

　　3.修改該域名在網(wǎng)絡(luò)解決方案公司的注冊(cè)信息

　　到這個(gè)時(shí)候，攻擊者會(huì)使用網(wǎng)絡(luò)解決方案公司networksolutions的MAKECHANGES功能修改該域名的注冊(cè)信息，包括擁有者信息，DNS服務(wù)器信息，等等。

　　4.冒充擁有者使用管理域名的E-MAIL帳號(hào)收發(fā)網(wǎng)絡(luò)解決方案公司確認(rèn)函

　　攻擊者會(huì)在該管理域名E-MAIL帳號(hào)的真正擁有者收到網(wǎng)絡(luò)解決方案公司確認(rèn)函之前，把該E-MAIL帳號(hào)的信件接收，使用該E-MAIL帳號(hào)回復(fù)網(wǎng)絡(luò)解決方案公司進(jìn)行確認(rèn)，進(jìn)行二次回復(fù)確認(rèn)后，將收到網(wǎng)絡(luò)解決方案公司發(fā)來(lái)的成功修改注冊(cè)記錄函，攻擊者成功劫持域名。

　　5.在新指定的DNS服務(wù)器加進(jìn)該域名記錄

　　在注冊(cè)信息新指定DNS服務(wù)器里加進(jìn)該域名的PTR記錄，指向另一IP的服務(wù)器，通常那兩臺(tái)服務(wù)器都是攻擊者預(yù)先入侵控制的服務(wù)器，并不歸攻擊者所擁有。
 

【編輯推薦】

1. 對(duì)比攻擊前后DNS信息 揭開(kāi)百度被黑真相
2. Google的云計(jì)算，你真的安全嗎？
3. 自己動(dòng)手打造公司內(nèi)網(wǎng)監(jiān)管利器
4. 利用HTTP-only Cookie緩解跨站點(diǎn)腳本攻擊
5. SHA也難逃我手：巧用Cain破解MYSQL數(shù)據(jù)庫(kù)密碼
6. MySQL數(shù)據(jù)庫(kù)中的重要數(shù)據(jù)應(yīng)當(dāng)如何保護(hù)
7. MySQL數(shù)據(jù)庫(kù)敏感數(shù)據(jù)安全保護(hù)六大措施