消费级路由器DNS劫持活动跟踪与防御方案 用户想要访问www.abc.com服务器上的index.html文件时,首先会请求DNS服务器获取到www.abc.com服务器的IP地址,之后通过获取的IP地址连接到对应的服务器,获取指定资源(index.html)的内容。其中DNS服务器的IP地址获取有如下途径: 1. 在拨号网络的情况下,DNS服务器的IP地址由运营商进行分配指定并下发到拨号设备中,用户通过拨号设备进行网络通讯。 2. 从公网中获取知名可信的DNS服务器IP地址并手动添加到路由器设备中,终端设备通过DHCP服务获取到路由器指定的DNS服务器IP地址并配置到终端。 3. 从公网中获取知名的DNS服务器IP地址并手动添加到终端设备。 1. ARP欺骗 攻击者仿冒网关设备,针对终端发起的ARP查询请求进行回复,迫使终端将其网络通讯数据重定向给攻击者,再由攻击者负责数据处理并进行转发,此种方式一般发生在局域网环境。 2. DNS响应注入 攻击者在线注入DNS响应数据包,先于DNS服务器的响应数据包到达终端,终端会接纳并信任先到的DNS响应数据包,进而实现数据流的迁移,此种方式需要攻击者具备终端网络数据报文的实时访问权与修改权。 3. 中间人攻击 此种方式由于具备网络数据包的报文转发与修改权限,只要能够接入到主干链路上即可实现终端上网敏感信息的获取。 4. 路由器DNS配置 此种方式主要是由于路由设备存在越权DNS设置漏洞,攻击者通过访问路由器DNS设置路径,并加入指定的DNS地址,即可实现数据服务器的地址欺骗,获取终端敏感数据。 第一波 2018年12月29日此次DNS劫持针对的目标路由器如下:
第二波 2019年2月6日此次DNS劫持针对的目标路由器如下:
第三波 2019年3月26日此次DNS劫持和前两次有明显的区别,目标涉及多个厂商的路由器设备。通过对公网暴露的易受攻击的设备进行统计如下: 在2019年4月5日、2019年4月23日、2019年4月26日、2019年4月28日、2019年4月30日也发生了利用同样的方式进行的DNS劫持攻击。 最近一次DNS劫持攻击(2020年5月23日-2020年5月24日)此次DNS劫持针对的目标路由器为D-Link和Secutech的路由器。 依据网络数据劫持的原理以及DNS重定向原理,建议的防护方案如下: 1. 限制外网用户管理路由器。 2. 修复路由器漏洞,针对DNS设置路径进行严格的权限管理。 3. 用户与路由器内置的WEB服务器之间使用HTTPS方式进行通讯。 4. 增加防火墙针对组织外网访问路由器80,8080,81端口的限制,特别是不允许访问路由器的DNS设置页面。 5. 如果允许的话,开启路由器的DoT(DNS-over-TLS)或者DoH(DNS-over-HTTPS)功能保证DNS通讯安全。 注:数据来自绿盟科技威胁情报中心 |