路由優化大師路由器DNS劫持攻擊爆發,CSRF點中路由器的軟肋

 　　在前些日子因為菲律賓槍殺台灣漁民而發生的“台菲黑客大戰”中，台灣黑客一度攻陷菲律賓政府的DNS服務器，迫使菲律賓黑客公開“求饒”。DNS安全問題再次成為國內外研究的焦點。而近日，網上又爆出了“54DNS” 劫持事件。

　　此次劫持由黑客利用寬帶路由器缺陷對用戶DNS進行篡改所導致，因為該WEB頁面沒有特別的惡意代碼，所以可以成功躲過安全軟件檢測，導致大量用戶被DNS釣魚詐騙。

　　DNS全稱Domain Name System，在網絡實現過程中擔當著重要的角色。DNS保存有該網絡中所有主機的域名和對應IP地址，並將域名轉換為IP地址。一旦遭到非法篡改，用戶將很可能被導向釣魚網站或其他惡意網址。

　　據悉，該DNS劫持事件源自於5月4日國內域名服務提供商114DNS發現的一次“監測數據異常”。而後，安全團隊成功追查到發動此次DNS劫持攻擊的“元凶”，並第一時間將此次攻擊情況通報給了TP-LINK等國內主流路由器廠商。

　　114DNS和騰訊電腦管家表示，新一輪DNS釣魚攻擊已導致數百萬用戶感染。約有4%的全網用戶可能已經處於此次DNS釣魚攻擊威脅當中。若按全網用戶2億規模估算，每天受到此次DNS釣魚攻擊的用戶已達到800萬，而如此大規模的DNS釣魚攻擊在以往十分罕見，可能是史上最大規模黑客攻擊。

　　那麼這次的攻擊事件，用到的是怎樣一種手段呢?

　　有位名叫“RAyH4c”的網友曾經在2011年寫過一篇Http Authentication Url and csrf技術文章，其中提到了相應的攻擊原理。而有其他網友指出，該類攻擊原理早在2008年就已在美國黑客大會上公布出來，一直沒有得到大家的重視。

　　安全研究團在近日對這次攻擊做了個分析此類攻擊的步驟大致如下：

　　1. 攻擊者誘騙受害者通過浏覽器訪問一個有CSRF攻擊代碼的頁面;

　　2. 受害者訪問後，這個頁面裡的CSRF代碼開始執行;

　　3. 執行第1個CSRF：用默認賬戶密碼登錄默認路由IP地址(比如admin/admin登錄http://192.68.1.1)，這些默認的可以形成一個列表，遍歷就行;

　　4. 第1個CSRF成功後，目標路由設備會有個合法的Cookie植入到受害者浏覽器端;

　　5. 執行第2個CSRF：將DNS的IP修改為攻擊者准備好的服務器IP。這次的執行，浏覽器會帶上第1次的合法Cookie，所以修改可以成功;

　　5. 用戶的訪問請求就會經過攻擊者的這個服務器，攻擊者可以做各種劫持了;

　　此外，他還對個人用戶如何防范此類攻擊提出了一些意見：

　　1. 修改默認的口令與內網地址段會比較好;

　　2. 本地綁定值得信賴的DNS服務，如8.8.8.8;

　　3. 升級到新版IE浏覽器;

　　4. 如果使用開源浏覽器，Firefox+NoScript一直是一個絕佳的組合;

　　在Web前端安全方面，CSRF的攻擊技巧一直在進化。之前一小部分人玩玩無傷大雅，但現在這些東西被黑色產業鏈實戰了，這才是我們更需關注的重點。尤其是對於各位站長，更要注意自己的網站後台被CSRF入侵，平時可登錄SCANV網站安全中心給自己的網站做檢查和預警。