一、背景描述

最近波兰CERT一篇名<Large-scale DNS redirection on home routers for financial theft>为的文章引起我们的注意,原文地址:(https://www.cert.pl/news/8019/langswitch_lang/en),报告中写到:“很多家用路由器存在未授权的远程修改配置漏洞导致了这次事件的发生。黑客通过在网上银行页面中注入了恶意的javascript代码欺骗用户输入账号密码和交易确认码,最终窃取了用户银行里面的钱。”

前两天微信公众号网站安全中心(wangzhan_anquan)发表消息:近日波兰遭遇大规模DNS劫持攻击,黑客通过修改家用路由器DNS配置从而劫持用户请求,最终窃取了用户银行里的钱!类似DNS劫持手法应该会很快便延伸到国内,危及网民安全。

很多朋友收到此消息后给我们留言抛出这样的疑问:

  • 这个和去年的有什么不同?
  • 修改路由器dns劫持,国内已经有好多了,但是没听说过洗钱的。
  • 我只听说过能够dns劫持我的HTTP请求,HTTPS也不安全啊?
  • More...

更多朋友所不知道的是,HTTPS加密请求也能嗅探到?

什么是HTTPS:

HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTPS。这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

之所以大家都认为不能嗅探HTTPS请求的原因是来自对加密SSL层的信任,那么黑客是怎么做到的嗅探HTTPS?

简单的说黑客为了绕过HTTPS,采用了SSL层剥离的技术,黑客阻止用户和使用HTTPS请求的网站之间建立SSL连接,使用户和代理服务器(攻击者所控服务器)之间使用了未加密的HTTP通信。

二、攻击细节

黑客(攻击者)使用了一款工具来实施攻击-SSLStrip,他能够阻止用户和使用HTTPS请求的网站之间建立SSL层连接,进行中间人劫持(类似于ARP欺骗_百度百科)。

上面就是我使用sslstrip进行嗅探内网某设备的截图,当然这只是一张图:)

SSLStrip的工作原理:

  1. 进行中间人攻击来劫持HTTP请求流量。
  2. 将出现的HTTPS链接全部替换为HTTP,同时记录所有改变的链接。
  3. 使用HTTP与受害者机器链接。
  4. 同时与合法的服务器建立HTTPS。
  5. 受害者与合法服务器之间的全部通信请求经过代理(攻击者服务器)转发。
  6. 完成劫持请求

攻击的流程原理可用下图表示:

有关波兰遭遇大规模DNS劫持用户网上银行的事件中,因为使用SSLStrip会提醒用户连接没有使用SSL加密,黑客为了迷惑用户,重写了URL,在域名前加了“ssl-.”的前缀,当然这个域名是不存在的,只能在黑客的恶意DNS才能解析。

这件事情的源头是因为ZynOS路由器出现漏洞,导致的大批量DNS劫持,有关ZynOS漏洞利用攻击代码已经在Github上有人放出来了,整个流程如下:

  1. 攻击者批量劫持用户DNS
  2. 重写URL迷惑用户
  3. 使用SSLStrip进行请求劫持
  4. 完成劫持

波兰这次事件主要是黑客利用路由漏洞进行了大范围DNS劫持然后使用sslstrip方法进行嗅探,这次方法要比之前单纯的DNS劫持有趣的多,当然危害也大的多。

三、解决方案

这种攻击方式马上会在国内展开攻击,这种攻击往往不是基于服务端,特别是SSL Stripping技术,其攻击手法不是针对相应固件也不是利用固件漏洞,所以大家有必要好好看一下解决方案,真正的把DNS防御杜绝在门外!

检查DNS是否正常
拿TP-Link举例,浏览器访问192.168.1.1(一般是这个,除非你改了),输入账号密码登陆(默认账号密码在说明书上都有)-> 网络参数-> WAN口设置-> 高级设置-> 看看里面DNS的IP是否勾选了“手动设置DNS服务器”。

* 如果你没有人工设置过,但勾选了,那就要警惕是否被黑客篡改了。
* 如果没勾选,一般情况下没有问题。
* 检查DNS IP是否正常:在百度上搜索下里面的DNS IP看看是不是国内的,如果是国外的则需要警惕了!除非是Google的8.8.8.8这个,看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况,有些正常DNS IP也会有人讨论质疑,这个需要大家自行判断一下,实在没把握就设置DNS IP如下:
主DNS服务器:114.114.114.114,备用DNS服务器为:8.8.8.8

关于其他品牌如何修改查看或者修改DNS的话,和上面步骤也差不多,实在找不到的话就百度一下,多方便。

如果发现被攻击的痕迹,重置路由器是个好办法,当然下面的步骤是必须的:

修改路由器Web登陆密码
路由器一般都会有Web管理页面的,这个管理界面的登陆密码记得一定要修改!一般情况下默认账号密码都是admin,把账号密码最好都修改的复杂点儿吧!

上面的步骤都是人工的,我们另外准备了工具(建议结合使用):DNS劫持恶意代码检测

开启计算机防火墙以及安装杀软也能有效的防御此类攻击。当然https还是安全的,只不过登陆相应https网站或者涉及敏感隐私/金钱交易网站时候注意网址左侧的证书颜色,绿色黄色红色分别代表不同级别!

dns劫持简介 https流量数据获取原理相关推荐

  1. 如何使用HTTPS防止dns劫持、https如何防止dns劫持

    前不久小米等六家互联网公司发表联合声明,呼吁运营商打击流量劫持.流量劫持最直观的表现,就是网页上被插入了一些乱七八糟的广告/弹窗之类的内容.比如这样: 网页右下角被插入了游戏的广告. 流量劫持总体来说 ...

  2. HTTP Catcher(网球)使用教程【五】开启DNS劫持

    前言: DNS劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法. 把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要 ...

  3. 【转载】在服务器上用Fiddler抓取HTTPS流量

    转载地址:https://yoursunny.cn/t/2011/FiddlerHTTPS/ 在服务器上用Fiddler抓取HTTPS流量 开发互联网应用的过程中,常常会设立或利用网络接口.为了调试对 ...

  4. 在服务器上用Fiddler抓取HTTPS流量

    http://yoursunny.com/t/2011/FiddlerHTTPS/ 阳光男孩 发表于2011-03-19 开发互联网应用的过程中,常常会设立或利用网络接口.为了调试对网络接口的使用,往 ...

  5. Windows实验——DNS劫持演练

    一.实验环境 钓鱼网站:虚拟机Windows Server 2008的缺省网站     IP:192.168.43.44 攻击者:物理机Win 10                          ...

  6. Fiddler抓取HTTPs流量

    Fiddler抓取HTTPS流量的原理 TLS是一种端到端的传输层加密协议,是HTTPS协议的一个组成部分.访问HTTPS站点时,HTTP请求.响应都通过TLS协议在浏览器和服务器之间加密传输,并且通 ...

  7. DNS劫持详解、如何使用网站监控检测dns劫持和网络劫持的特征

    如何检测是否存在劫持? 使用IIS7网站监控,进入监控页面,输入你需要检测的网站域名,点击"提交检测",我们可以看到"检测次数"."返回码" ...

  8. 使用ettercap进行DNS劫持

    DNS劫持简介 DNS ( Domain Name System ,域名系 统) ,在互联网上作为域名和IP地址相互映射的 -个分布式数据库.DNS劫持又称域名劫持,是 指在劫持的网络范围内拦截域名解 ...

  9. DNS劫持、流量劫持,HTTP/HTTPS劫持

    DNS劫持:DNS劫持就是通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问 ...

最新文章

  1. oracle 格式化报表输出,perl的格式化(Format)报表输出实现代码
  2. C#开发XML WebService接口(SOAP)
  3. SAP Cloud for Customer(C4C)后台ABAP系统的System ID和client ID
  4. AndroidUI 布局动画-为布局添加动画
  5. redlock java_用redlock实现redis的分布式锁
  6. 常用的数字正则表达式
  7. C语言判断闰年计算某月的天数代码
  8. 【Android】关于WIFI局域网的手机摄像头当视频监控用实现方案详解
  9. 程序员视角:鹿晗公布恋情是如何把微博搞炸的?
  10. 金属非金属如何去毛刺 机器人浮动去毛刺
  11. IOS 读二进制数据文件
  12. iOS CoreData的使用
  13. Android车载蓝牙相关开发2:蓝牙总入口BluetoothAdapter
  14. 入门学习UI设计有哪些就业方向?
  15. 1341:【例题】一笔画问题——欧拉(回)路
  16. Unity手机震动,Unity -> android 震动
  17. 【机器学习笔记7】决策树原理及应用
  18. Android自定义SeekBar,带开始值结束值和Thumb上方滑动的Text
  19. cpu soft lockup
  20. CCNP路由实验之八 路由重发布

热门文章

  1. PostgreSQL — 常规操作
  2. 用 C 语言开发一门编程语言 — 异常处理
  3. 我非要捅穿这 Neutron(三)架构分析与代码实现篇(基于 OpenStack Rocky)
  4. print格式化输出,以及使用format控制
  5. NR 5G UE和5G网络功能之间的安全流程
  6. Newtonsoft.Json 概述
  7. js进阶 12-1 jquery的鼠标事件有哪些
  8. jQuery中排除指定元素,同时选择剩下的所有元素
  9. JSONAssert Spring Boot Test
  10. 直流UPS供电系统在数据中心机房中的应用分析