在前些日子因?yàn)榉坡少e槍殺臺(tái)灣漁民而發(fā)生的“臺(tái)菲黑客大戰(zhàn)”中，臺(tái)灣黑客一度攻陷菲律賓政府的DNS服務(wù)器，迫使菲律賓黑客公開(kāi)“求饒”。DNS安全問(wèn)題再次成為國(guó)內(nèi)外研究的焦點(diǎn)。而近日，網(wǎng)上又爆出了“54DNS” 劫持事件。

　　此次劫持由黑客利用寬帶路由器缺陷對(duì)用戶(hù)DNS進(jìn)行篡改所導(dǎo)致，因?yàn)樵揥EB頁(yè)面沒(méi)有特別的惡意代碼，所以可以成功躲過(guò)安全軟件檢測(cè)，導(dǎo)致大量用戶(hù)被DNS釣魚(yú)詐騙。

　　DNS全稱(chēng)Domain Name System，在網(wǎng)絡(luò)實(shí)現(xiàn)過(guò)程中擔(dān)當(dāng)著重要的角色。DNS保存有該網(wǎng)絡(luò)中所有主機(jī)的域名和對(duì)應(yīng)ip地址，并將域名轉(zhuǎn)換為IP地址。一旦遭到非法篡改，用戶(hù)將很可能被導(dǎo)向釣魚(yú)網(wǎng)站或其他惡意網(wǎng)址。

　　據(jù)悉，該DNS劫持事件源自于5月4日國(guó)內(nèi)域名服務(wù)提供商114DNS發(fā)現(xiàn)的一次“監(jiān)測(cè)數(shù)據(jù)異常”。而后，安全團(tuán)隊(duì)成功追查到發(fā)動(dòng)此次DNS劫持攻擊的“元兇”，并第一時(shí)間將此次攻擊情況通報(bào)給了TP-LINK等國(guó)內(nèi)主流路由器廠商。

　　114DNS和騰訊電腦管家表示，新一輪DNS釣魚(yú)攻擊已導(dǎo)致數(shù)百萬(wàn)用戶(hù)感染。約有4%的全網(wǎng)用戶(hù)可能已經(jīng)處于此次DNS釣魚(yú)攻擊威脅當(dāng)中。若按全網(wǎng)用戶(hù)2億規(guī)模估算，每天受到此次DNS釣魚(yú)攻擊的用戶(hù)已達(dá)到800萬(wàn)，而如此大規(guī)模的DNS釣魚(yú)攻擊在以往十分罕見(jiàn)，可能是史上最大規(guī)模黑客攻擊。

　　那么這次的攻擊事件，用到的是怎樣一種手段呢?

　　有位名叫“RAyH4c”的網(wǎng)友曾經(jīng)在2011年寫(xiě)過(guò)一篇Http Authentication Url and csrf技術(shù)文章，其中提到了相應(yīng)的攻擊原理。而有其他網(wǎng)友指出，該類(lèi)攻擊原理早在2008年就已在美國(guó)黑客大會(huì)上公布出來(lái)，一直沒(méi)有得到大家的重視。

　　安全研究團(tuán)在近日對(duì)這次攻擊做了個(gè)分析此類(lèi)攻擊的步驟大致如下：

　　1. 攻擊者誘騙受害者通過(guò)瀏覽器訪問(wèn)一個(gè)有CSRF攻擊代碼的頁(yè)面;

　　2. 受害者訪問(wèn)后，這個(gè)頁(yè)面里的CSRF代碼開(kāi)始執(zhí)行;

　　3. 執(zhí)行第1個(gè)CSRF：用默認(rèn)賬戶(hù)密碼登錄默認(rèn)路由IP地址(比如admin/admin登錄http://192.68.1.1)，這些默認(rèn)的可以形成一個(gè)列表，遍歷就行;

　　4. 第1個(gè)CSRF成功后，目標(biāo)路由設(shè)備會(huì)有個(gè)合法的Cookie植入到受害者瀏覽器端;

　　5. 執(zhí)行第2個(gè)CSRF：將DNS的IP修改為攻擊者準(zhǔn)備好的服務(wù)器IP。這次的執(zhí)行，瀏覽器會(huì)帶上第1次的合法Cookie，所以修改可以成功;

　　5. 用戶(hù)的訪問(wèn)請(qǐng)求就會(huì)經(jīng)過(guò)攻擊者的這個(gè)服務(wù)器，攻擊者可以做各種劫持了;

　　此外，他還對(duì)個(gè)人用戶(hù)如何防范此類(lèi)攻擊提出了一些意見(jiàn)：

　　1. 修改默認(rèn)的口令與內(nèi)網(wǎng)地址段會(huì)比較好;

　　2. 本地綁定值得信賴(lài)的DNS服務(wù)，如8.8.8.8;

　　3. 升級(jí)到新版IE瀏覽器;

　　4. 如果使用開(kāi)源瀏覽器，F(xiàn)irefox+NoScript一直是一個(gè)絕佳的組合;

　　在Web前端安全方面，CSRF的攻擊技巧一直在進(jìn)化。之前一小部分人玩玩無(wú)傷大雅，但現(xiàn)在這些東西被黑色產(chǎn)業(yè)鏈實(shí)戰(zhàn)了，這才是我們更需關(guān)注的重點(diǎn)。尤其是對(duì)于各位站長(zhǎng)，更要注意自己的網(wǎng)站后臺(tái)被CSRF入侵，平時(shí)可登錄SCANV網(wǎng)站安全中心給自己的網(wǎng)站做檢查和預(yù)警。