全球DNS劫持威胁

什么是全球DNS劫持威胁？

包括Tripwire、FireEye和Mandiant等主要网络安全公司的专家报告了全球范围内发生的令人震惊的DNS劫持攻击浪潮。这些攻击针对中东、欧洲、北非和北美的政府、电信和互联网实体。

研究人员尚未公开这类攻击的目标站点，但他们承认遭入侵的域的数量在数十个范围。这些攻击自至少 2017 年以来一直在进行，它们结合使用先前被盗的凭据，将用户引领到旨在窃取登录凭据和其他敏感信息的假冒网站。

尽管没有人表示为这些攻击负责，但许多专家认为这些攻击来自伊朗。几个攻击者 IP 地址已经追溯到伊朗。尽管攻击者有可能通过欺骗到伊朗 IP 来洗脱嫌疑，但攻击的目标似乎也指向伊朗。目标包括几个中东国家的政府站点，这些站点包含没有任何财务价值但对伊朗政府来说非常有价值的数据。

这些DNS劫持攻击如何运作？

攻击的执行策略有几种，但主要流程如下：

1. 攻击者创建一个假网站，其外观和感觉与他们要攻击的目标站点相同。
2. 攻击者使用定向攻击（例如鱼叉式网络钓鱼）来获取目标站点的 DNS* 提供商的管理面板登录凭据。
3. 然后，攻击者进入 DNS 管理面板，并更改攻击目标站点的 DNS 记录（这称为 DNS 劫持 ），这样，尝试访问该站点的用户将被发送到该虚拟站点。
4. 攻击者伪造 TLS 加密证书 ，该证书将让用户的浏览器确信假冒站点是合法的。
5. 毫无戒心的用户转到受损站点的URL，然后将其重定向到假的站点。
6. 然后用户尝试登录假的站点，攻击者将获得其登录凭据。

*域名系统（DNS）类似于互联网中的电话簿。当用户在浏览器中输入 URL（例如“ google.com”）时，其在 DNS 服务器中的记录会将该用户定向到谷歌的源服务器。如果这些 DNS 记录遭到篡改，则用户可能会遇到意外的情况。

如何防止DNS劫持攻击？

在这些类型的攻击中，单个用户无法采取太多措施来保护自己，以防丢失凭据。如果攻击者在创建其虚假站点时足够彻底，那么即使是技术娴熟的用户也很难发现差异。

缓解这些攻击的一种方法是让 DNS 提供商加强其身份验证，采取诸如要求双因素身份验证之类的措施，这将使攻击者访问 DNS 管理面板更加困难。浏览器还可以更新其安全规则，例如仔细检查 TLS 证书的来源，以确保它们源自与所使用域相符的来源。