最近,我们发现adobecom、internet.com、nike.com等网站都遭到了攻击,但是攻击者使用了与以前使用过的入侵WEB服务器不同的方法来改变主页,黑客利用了
域名劫持攻击技术,攻击者伪装成原来的域名所有者,用E-MAIL方式修改网络解决方案公司的注册域名记录,向另一团体转让域名,通过在被修改登记信息指定的DNS服务器上加载域名记录,将原始的域名指向另一个IP地址的服务器,通常这两个服务器都是攻击者预先入侵控制的服务器,不属于攻击者。这名黑客究竟是如何实施这个域名劫持攻击的?
入侵者将首先访问Web解决方案公司www.networksolutions.com,该公司主页上提供MAKECHANGES功能,输入想要查询的域名,获取域名注册信息。并且通过相应的攻击手段,获得更多有关该网站的安全信息。
2.E-MAIL帐户,用于控制管理域名。
通过以上获取的信息,攻击者可以知道abc.com的注册DNS服务器、用于管理域名的E-MAIL帐户、E-MAIL帐号等相关登记资料,首先,攻击者需要使用E-MAIL帐户abc.legal.internet.registration@ABC.COM来控制这个域名,在网络上进行接收。
networksolutions主页在修改了域名注册记录之后确认E-MAIL,控制E-MAIL帐号的过程不排除攻击者对E-MAIL帐号使用密码的猜测,入侵攻击位于位于帐户的E-MAIL服务器上。
3.修改网络解决方案公司的域名注册信息。
此时,攻击者将使用网络解决方案公司networksolutions的MAKECHANGES功能来修改注册信息,包括所有者信息、DNS服务器信息等。
4.通过E-MAIL帐号和收发网络解决方案,冒充所有者对公司进行注册。
在此管理域名E-MAIL帐户的实际所有者收到“网络解决方案公司”的确认书之前,收到来自E-MAIL帐号的邮件,使用E-MAIL帐号回复“网络解决方案”公司以确认邮件。经确认回复后,将收到网络解决方案公司发出的成功修改注册记录信,攻击者成功劫持了域名。(服务器租赁)
5.在新指定的DNS服务器上输入域名记录。
将该域名的PTR记录加到注册信息新指定DNS服务器中,指向另一个IP的服务器,通常这两个IP是攻击者预先入侵控制的服务器,不属于攻击者所有。
