簡介
定義
域名劫持就是在劫持的網絡範圍内攔截域名解析的請求,分析請求的域名,把審查範圍以外的請求放行,否則直接返回假的IP地址或者什麼也不做使得請求失去響應,其效果就是對特定的網址不能訪問或訪問的是假網址。
域名劫持一方面可能影響用戶的上網體驗,用戶被引到假冒的網站進而無法正常浏覽網頁,而用戶量較大的網站域名被劫持後惡劣影響會不斷擴大;另一方面用戶可能被誘騙到冒牌網站進行登錄等操作導緻洩露隐私數據。
準确認識“非法控制”行為的内涵和外延是明确非法控制計算機信息系統罪和破壞計算機信息系統罪關系和适用原則的關鍵。接着對于“域名劫持”行為進行了定性分析,并讨論了作為“域名劫持”後續的“販賣被劫持流量”行為處罰問題,認為其可以作為計算機網絡犯罪的一種情節進行評價,不必另罪處罰。
原理
域名解析(DNS)的基本原理是把網絡地址(域名,以一個字符串的形式)對應到真實的計算機能夠識别的網絡地址(IP地址,比如216.239.53.99這樣的形式),以便計算機能夠進一步通信,傳遞網址和内容等。
由于域名劫持往往隻能在特定的被劫持的網絡範圍内進行,所以在此範圍外的域名服務器(DNS)能夠返回正常的IP地址,高級用戶可以在網絡設置把DNS指向這些正常的域名服務器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。
如果知道該域名的真實IP地址,則可以直接用此IP代替域名後進行訪問。比如訪問谷歌,可以把訪問改為http://216.239.53.99/,從而繞開域名劫持。
過程
由于域名劫持隻能在特定的網絡範圍内進行,所以範圍外的域名服務器(DNS)能返回正常IP地址。攻擊者正是利用此點在範圍内封鎖正常DNS的IP地址,使用域名劫持技術,通過冒充原域名以E-MAIL方式修改公司的注冊域名記錄,或将域名轉讓到其他組織,通過修改注冊信息後在所指定的DNS服務器加進該域名記錄,讓原域名指向另一IP的服務器,讓多數網民無法正确訪問,從而使得某些用戶直接訪問到了惡意用戶所指定的域名地址,其實施步驟如下:
一、獲取劫持域名注冊信息:首先攻擊者會訪問域名查詢站點,通過MAKE CHANGES功能,輸入要查詢的域名以取得該域名注冊信息。
二、控制該域名的E-MAIL帳号:此時攻擊者會利用社會工程學或暴力破解學進行該E-MAIL密碼破解,有能力的攻擊者将直接對該E-MAIL進行入侵行為,以獲取所需信息。
三、修改注冊信息:當攻擊者破獲了E-MAIL後,會利用相關的MAKE CHANGES功能修改該域名的注冊信息,包括擁有者信息,DNS服務器信息等。
四、使用E-MAIL收發确認函:此時的攻擊者會在信件帳号的真正擁有者之前,截獲網絡公司回饋的網絡确認注冊信息更改件,并進行回件确認,随後網絡公司将再次回饋成功修改信件,此時攻擊者成功劫持域名。
缺點
它不是很穩定,在某些網絡速度快的地方,真實的IP地址返回得比竊持軟件提供的假地址要快,因為監測和返回這麼巨大的數據流量也是要花費一定時間的。
在網上查詢域名的正确IP非常容易。一個是利用海外的一些在線IP地址查詢服務,可以查找到網站的真實IP地址。在Google上搜索"nslookup",會找到更多類似的服務。
參考資料:全球互聯網的13台DNS根服務器分布
美國VeriSign公司2台
網絡管理組織IANA(Internet Assigned Number Authority)1台
歐洲網絡管理組織RIPE-NCC(Resource IP Europeens Network Coordination Centre)1台
美國PSINet公司1台
美國ISI(Information Sciences Institute)1台
美國ISC(Internet Software Consortium)1台
美國馬裡蘭大學(University of Maryland)1台
美國太空總署(NASA)1台
美國國防部1台
美國陸軍研究所1台
挪威NORDUnet1台
日本WIDE(Widely Integrated Distributed Environments)研究計劃1台
破解困境
問題根源
DNS安全問題的根源在于Berkeley Internet Domain (BIND)。BIND充斥着過去5年廣泛報道的各種安全問題。VeriSign公司首席安全官Ken Silva說,如果您使用基于BIND的DNS服務器,那麼請按照DNS管理的最佳慣例去做。
應對措施分析
SANS首席研究官Johannes認為:“目前的DNS存在一些根本的問題,最主要的一點措施就是堅持不懈地修補DNS服務器,使它保持最新狀态。”
Nominum公司首席科學家、DNS協議原作者Paul Mockapetris說,升級到BIND9.2.5或實現DNSSec,将消除緩存投毒的風險。不過,如果沒有來自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等廠商的DNS管理設備中提供的接口,完成這類遷移非常困難和耗費時間。一些公司,如Hushmail,選擇了用開放源代碼TinyDNS代替BIND。替代DNS的軟件選擇包括來自Microsoft、PowerDNS、JH Software以及其他廠商的産品。
建議
不管您使用哪種DNS,請遵循以下最佳慣例:
1.在不同的網絡上運行分離的域名服務器來取得冗餘性。
2.将外部和内部域名服務器分開(物理上分開或運行BINDViews)并使用轉發器(forwarders)。外部域名服務器應當接受來自幾乎任何地址的查詢,但是轉發器則不接受。它們應當被配置為隻接受來自内部地址的查詢。關閉外部域名服務器上的遞歸功能(從根服務器開始向下定位DNS記錄的過程)。這可以限制哪些DNS服務器與Internet聯系。
3.可能時,限制動态DNS更新。
4.将區域傳送僅限制在授權的設備上。
5.利用事務簽名對區域傳送和區域更新進行數字簽名。
6.隐藏運行在服務器上的BIND版本。
7.删除運行在DNS服務器上的不必要服務,如FTP、telnet和HTTP。
8.在網絡外圍和DNS服務器上使用防火牆服務。将訪問限制在那些DNS功能需要的端口/服務上。
讓注冊商承擔責任
域名劫持的問題從組織上着手解決也是重要的一環。不久前,有黑客詐騙客戶服務代表修改了Hushmail的主域名服務器的IP地址。對于此時,Hushmail公司的CTO Brian Smith一直忿忿不已,黑客那麼容易就欺騙了其域名注冊商的客戶服務代表,這的确令人惱火。
Smith說:“這件事對于我們來說真正糟透了。我希望看到注冊商制定和公布更好的安全政策。但是,我找不出一家注冊商這樣做,自這件事發生後,我一直在尋找這樣的注冊商。”
Panix總裁Alex Resin在因注冊商方面的問題,導緻1月Panix域名遭劫持時,也感受到了同樣強烈的不滿。首先,他的注冊商在沒有事先通知的情況下,将他的域名注冊賣給了一家轉銷商。然後,這家轉銷商又把域名轉移給了一個社會工程人員――同樣也沒有通知Resin。
Resin說:“域名系統需要系統的、根本的改革。現在有很多的建議,但事情進展的不夠快。”
等待市場需求和ICANN領導階層迫使注冊商實行安全的轉移政策,還将需要長時間。因此,Resin,Smith和ICANN首席注冊商聯絡官Tim Cole提出了以下減少風險的建議:
1.要求您的注冊商拿出書面的、可執行的政策聲明。将如果需要轉移域名的話,要求他們及時與您聯系的條款寫在書面文件中。
2.鎖定域名。這要求注冊商在得到解鎖的口令或其它身份信息後才允許轉移。
3.使您保存在注冊商那裡的正式聯系信息保持最新狀态。
4.選擇提供24/7服務的注冊商,這樣他們可以在發生違規事件時迅速采取行動。
5.如果發生未經授權的轉移,立即與有關注冊商聯系。
6.如果您的問題沒有得到解決,去找您的域名注冊機構(例如,VeriSign負責.com和.net的注冊)。
7.如果您在拿回自己的域名時仍遇到問題,與ICANN聯系(transfers
8.如果擁有一個大型域,那就像Google那樣,成為自己的注冊商或者自己的轉銷商,利用TuCows。com的開放API,OpenSRS,來控制您的所有域名。
針對DNS系統自身漏洞PacketScout GenieProDNS系統應對DNS劫持和DNS緩存中毒攻擊解決方法
一緻性檢查
每個Geniepro節點将自身的DNS記錄發送給工作組内其他節點請求一緻性檢查
每個Geniepro節點将自身的記錄與收到的記錄進行比較
每個Geniepro工作組的通信協調節點将獲得的DNS記錄更新發送給其他組的通信協調節點請求一緻性檢查
每個Genipro工作組的通信協調節點向上一級DNS服務器請求更新記錄并與收到的其他通信協調節點的記錄進行比較
一緻性仲裁
如果一緻性檢查發現記錄不一緻情況,則根據策略(少數服從多數、一票否決等)決定是否接受記錄的變化
根據結果,各Geniepro節點将自身記錄進行統一
通信協調節點選舉
選舉出的通信協調節點在任期内具有更新組内節點的權限
選舉過程滿足不可預測性和不可重複性
優勢與不足
DNS的全稱是Domain Name Server,一種程序,它保存了一張域名(domain name)和與之相對應的IP地址(IPaddress)的表,以解析消息的域名。域名是Internet上某一台計算機或計算機組的名稱,用于在數據傳輸時标識計算機的電子方位(有時也指地理位置)。域名是由一串用點分隔的名字組成的,通常包含組織名,而且始終包括兩到三個字母的後綴,以指明組織的類型或該域所在的國家或地區。
之所以域名解析不需要很長時間,是因為上網接入商,比如北京電信,河南電信等,為了要加速用戶打開網頁的速度,通常在他們的DNS服務器中緩存了很多域名的DNS記錄。這樣這個接入商的用戶要打開某個網頁時,接入商的服務器不需要去查詢域名數據庫,而是把自己緩存中的DNS記錄直接使用,從而加快用戶訪問網站的速度。這是優點。
缺點是上網接入商ISP的緩存會存儲一段時間,隻在需要的時候才更新,而更新的頻率沒有什麼标準。有的ISP可能1小時更新一次,有的可能長達一兩天才更新一次。
所以新注冊的域名一般來說解析反倒比較快。因為所有的ISP都沒有緩存,用戶訪問時ISP都是要查詢域名數據庫,得到最新的DNS數據。
而老域名如果更改了DNS記錄,但世界各地的ISP緩存數據卻并不是立即更新的。這樣不同ISP下的不同用戶,有的可以比較快的獲取新的DNS記錄,有的就要等ISP緩存的下一次更新。
