本文概要:本篇文章主要讲解了局域网内的DNS劫持的方法,原理,防范以及环境复现 01 原理DNS决定的是我们的域名将解析到哪一个IP地址的记录,是基于UDP协议的一种应用层协议 这个攻击的前提是攻击者掌控了你的网关(可以是路由器,交换机,或者运营商),一般来说,在一个WLAN下面,使用ARP劫持就可以达到此效果。 你在访问一个网站的过程中,经历了如下几个阶段: 1、地址栏输入freebuf.com 2、访问本机的hosts文件,查找freebuf.com所对应的 IP,若找到,则访问该IP 3、若未找到,则进行这一步,去(远程的)DNS服务器上面找freebuf.com的IP,访问该IP 可以通过Wireshark抓包来看一下这个过程 这是一个发向baidu.com的DNS请求 这是DNS服务器返回的内容: 中间人劫持就发生在第三步:由于恶意攻击者控制了你的网关,当你发送了一个查找 由于DNS劫持导向的界面的URL是完全正确的,因此 攻击者可以将网页的前端做的极为完善!几乎和原网页一模一样,各种链接,也都指向正确的地方,只有这个登陆框是有问题的,一旦输入用户名密码就会被攻击者所接受到。 02 防范一般来说,这种攻击的防范是很难的!因为URL和页面都是正常的,不是对web技术有很深了解的人根本无从下手(如果攻击者的页面复原的足够真实的话,但是我们还是有一些方法来进行防范的 1、使用SSL(HTTPS)进行登录,攻击者可以得到公钥,但是并不能够得到服务器的私钥 2、当浏览器提示出现证书问题的时候,谨慎,再谨慎!确定你所在的网络环境是安全的,该网站是可信的再去访问。 3、不在连接公共wifi的时候随意进行登陆操作
如果出现了像上图这样的提示,那么有两种可能, 一种是服务器的HTTPS证书没有正确的配置, 另一种就是你可能遭到了中间人劫持,数字证书无法通过浏览器的验证 一般来说,只有一些公司和学校的内网,一些个人站,和(12306) ,会遭遇证书配置的问题。其他的正常大型站点,尤其是我们经常使用的一些网站,不会出现此类问题,而需要登录的,经常遭遇钓鱼的,正是这些站点。因此,遭遇这种情况的时候,一定不要轻易的填写用户名和密码。 这种攻击的影响的范围一般是很小的,只局限鱼一个内网的范围,总体来说还是不必担心过多,当然,如果是运营商劫持,那就另当别论,不过运营商劫持一般也只是插入广告,不会大胆的直接用这种方式进行钓鱼攻击。 03 攻击者的目的钓鱼攻击盗取密码诱导用户进行填写登录表单的操作,将POST的地址改为自己的服务器地址,以获取受害者的用户名和密码
一般来说,这样的submit函数应该是在按钮被点击之后执行,但是攻击者可以可以在用户每一次输入的动作之后使用on事件来执行这个函数,可以使得用户不点击就发送。 钓鱼攻击劫持支付在支付的界面进行劫持使得用户的支付宝,或者银行卡支付,使得支付到攻击者的账户中。 植入广告这种方式的DNS劫持一般是运营商所为的,大面积的劫持 (像上图右下角的那样,就类似于运营商的广告劫持,当然这个可能是站点自己的广告,找不到运营商劫持的图了,拿这张图演示一下) 有两种方式 HTTP劫持 将拦截到的HTML文本中间加一个 position为fixed的div,一般在右下角,显示出广告 DNS劫持 将域名劫持到一个攻击者的网站中,含有广告,再用iframe的方式来引入用户要访问的网站。 04 攻击复现我们可以对这种攻击方式进行复现, 准备工作
操作指南
|
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
注册
登录
