公司网站应达到的功能,如何向百度提交网站,淄博市建设工程质量协会网站,seo优化设计Part1 前言 攻击事件描述如下#xff1a;当时有几个区的部分用户访问一些网站会跳出菠菜、色情页面#xff0c;最后工作人员发现这些用户的家用路由器DNS都被篡改了#xff0c;这些DNS统计下来有几十个#xff0c;部分DNS服务器被威胁情报标记为恶意ip#xff0c;然后部分… Part1 前言 攻击事件描述如下当时有几个区的部分用户访问一些网站会跳出菠菜、色情页面最后工作人员发现这些用户的家用路由器DNS都被篡改了这些DNS统计下来有几十个部分DNS服务器被威胁情报标记为恶意ip然后部分路由器密码也被重置。将路由器恢复出厂设置之后一切恢复正常但是发现过几天DNS又会被篡改最后客户通过屏蔽恶意DNS服务器ip地址解决了这一次攻击事件。 这个事件过去很多年了攻击者是如何将内网用户的网络设备的DNS改掉的到现在也没有定论。这几年自己补充了不少基础知识同时与一个研究路由器固件漏洞的小伙讨论对以前的资料进行整理分析最终得出的结论应该就是“DNS重绑定攻击”造成的。 Part2 部分观点研判 首先简单对当时的一些观点进行简要分析 1 tp-link开启了远程访问功能存在弱口令。这个不太可能几乎所有用户家里的路由器买了之后就不会动没有造成大量用户中招的可能性。 2 使用tp-link的CSRF修改DNS配置漏洞。这个可能性是有但是tplink这个版本是没有默认密码的但是不排除普通家庭宽带用户都会把默认密码改为123456等等简单密码给攻击者带来便利。 3 路由器远程代码执行。这个之前我认为可能性不大现在认为可能性也是有的。现在的安全研究技术总是在进步挖掘一个路由器的栈溢出漏洞已经不像10几年前难度那么大了而且能够稳定利用。 4 DNS重绑定攻击。前面几种观点都不能圆满解释攻击者是如何从外网打内网设备的DNS重绑定攻击是一种可能的手段接下来看具体分析过程。 Part3 前置基础知识 DNS重绑定攻击介绍 DNS重绑定攻击过程如下攻击者事先构造好一个网站想办法以各种形式让用户访问到。当受害者点开一个不明链接地址后用户就会中招这个链接地址的网页在用户不知情情况下绕过浏览器同源限制以网页中的js代码发起几个http请求对用户所在内网的设备如TP-Link路由器、物联网设备等发起攻击。由此可见DNS重绑定攻击是可以从外网直接对内网设备进行攻击的。 浏览器同源策略 同源策略SOP指的是“协议域名端口”三者相同现在主流的浏览器都会使用这个策略。但是同源策略是“协议域名端口”但不是“协议ip地址端口”这就给攻击者可乘之机。 DNS记录的TTL时间 当各地的DNS服务器接受到解析请求时就会向域名指定的授权DNS服务器发出解析请求从而获得解析记录这个记录在DNS服务器上保留的时间就是TTL值。这里需要指出的一点谷歌chrome浏览器自己也有一个TTL时间即使你的DNS服务器TTL设置为0那么谷歌也会在一分钟之后才不用用缓存。 Part4 DNS重绑定攻击过程 为了很好地解释宽带用户内网的家用路由器在不通外网的情况下如何被攻击者篡改路由器的DNS记录的我画了一个比较直观的示意图方便大家理解“DNS重绑定攻击”。 DNS重绑定攻击示意图 攻击者首先需要能控制DNS解析记录可以使自己搭建的DNS服务器自己是域名拥有者。在用户第一次访问www.hacker.com时DNS返回域名解析记录为攻击者的恶意服务器111.222.333.111后续访问都解析到192.168.1.1。这样当受害者访问攻击者的页面http://www.hacker.com的时候会从攻击者的服务器上拉取JS攻击代码后面的对www.hacker.com域名的请求会指向本地192.168.1.1。虽然DNS解析指向的服务器变了但是域名没变浏览器仍然遵循同源策略这样就可以对内网的路由器进行攻击了。 新手的疑问 这里新手朋友可能会有一个疑问为啥要绕这么大一个弯子直接写一个网页放www.hacker.com域名上用js写一段代码直接对内网设备发起http请求http://192.168.1.1/login.html?expxxx进行攻击呢 我们构造一个网页用浏览器访问一下看看结果发现是不行的被浏览器同源策略给阻拦了不允许跨域。 至此DNS重绑定攻击就讲完了当时的日志记录没有留存没法找到关键证据所以对于这次攻击事件上述只是我个人的猜测不一定是最终的准确答案。大家有什么见解可以在公众号后台给我留言。这里还引出一个问题攻击者有哪些手段可以控制DNS服务器的解析记录呢请关注本公众号后续会写文章专门讲解。 Part5 修复方案及总结 1. 内网设备都要开启CSRF策略。 2. 内网的网络设备需要对http请求的host头进行校验查看是否是合法请求。 3. 对http请求头进行referer校验。 4. 升级网络设备到最新版本及时更新补丁并且杜绝网络设备弱口令现象。 5. 内网网络设备可以尽量使用HTTPS而不是HTTP发生DNS重绑定攻击时会无效的SSL证书安全警告将阻止你的请求。 6. 过滤DNS响应中的私有IP范围等可疑IP地址。 专注于网络安全技术分享包括红队攻防、蓝队分析、渗透测试、代码审计等 每周一篇99%原创敬请关注
