当前位置 主页 > 本站WEB程序 > 安全 > IIS7网站监控 >
近期发现 adobe.com, internet.com, nike.com, 等等著名站点都分分遭受到攻击, 但攻击者所使用的技术并不是以往所使用的入侵web服务器, 更改主页的惯用手法, 攻击者使用的是一种域名劫持攻击 攻击者通过冒充原域名拥有者以e - mail方式 ? 修改网络解决方案公司的注册域名记录, 将域名转让到另一团体, 通过在修改后注册信息所指定的dns服务器加进该域名记录, 让原域名指向另一ip的服务器, 通常那两台服务器都是攻击者预先入侵控制的服务器, 并不归攻击者所 拥有.
那攻击者到底是怎样实施该域名劫持攻击的呢?
1、获取域名注册信息被劫持
攻击者将首先访问网络解决方案公司www. http://NETWorkStudioS.com,输入通过公司主页提供的更改功能查询的域名,并以http://ABC.com获取域名注册信息为例,我们将得到以下内容信息:
Registrant:
Capital Cities/ABC,Inc (ABC10-DOM)
77 W 66th St.
New York, NY 10023
US
Domain Name: http://ABC.COM
Administrative Contact, Billing Contact:
King, Thomas C. (SC3123-ORG) abc.legal.internet.registration@ABC.COM
ABC, Inc.
77 W 66th St.
New York, NY 10023
US
212-456-7012
Technical Contact, Zone Contact:
Domain Administrator (DA4894-ORG) dns-admin@STARWAVE.COM
Starwave Corporation
13810 SE Eastgate Way, ste. 400
Bellevue, WA 98005
US
206.664.4800
Fax- 206.664.4829
Record last updated on 11-Oct-2000.
Record expires on 23-May-2003.
Record created on 22-May-1996.
Database last updated on 20-Oct-2000 14:14:26 EDT.
Domain servers in listed order:
http://DNS1.STARWAVE.COM 204.202.132.51
http://T.NS.VERIO.NET 192.67.14.16
2、控制托管域名的电子邮件帐户
从上面获得的信息中,攻击者可以理解ABC COM的注册DNS服务器,管理域名的电子邮件帐户,与电子邮件帐户相关的技术等等。攻击者的重点是控制电子邮件帐号ABC.Actual.Internet .No.@ http://Acc.com的域名,首先在网络解决方案公司NE中接收和接收。TWorkStage主页修改了域名注册记录后的电子邮件确认,控制过程中的电子邮件账户不排除攻击者对电子邮件账号密码的暴力猜测,电子邮件账号入侵攻击的账号
3、修改网络解决方案公司的域名注册信息。
此时,攻击者将使用网络解决方案公司网络解决方案的修改功能来修改域名注册信息,包括所有者信息、DNS服务器信息等。
4、作为域名管理的电子邮件帐户的所有者。
攻击者将在电子邮件域名帐户的真正所有者收到来自网络解决方案公司的确认信之前,从电子邮件帐户收到一封信,使用电子邮件帐户回复网络解决方案公司确认它,并且在两次回复之后,它将收到成功。UL修订的网络解决方案公司。书信记录中,攻击者成功劫持了域名。
5、将域名添加到新指定的DNS服务器
域名的PTR记录被添加到新指定的DNS服务器中,用于注册信息,指向另一个IP的服务器,通常两个服务器是攻击者的预入侵服务器,该服务器不属于攻击者。