尹川銘 北方民族大學(xué)計算機(jī)科學(xué)與工程學(xué)院研究生處
無線WIFI網(wǎng)絡(luò)釣魚攻擊的原理與防范
尹川銘 北方民族大學(xué)計算機(jī)科學(xué)與工程學(xué)院研究生處
無線WIFI網(wǎng)絡(luò)在帶給人們方便,快捷的同時,由于其自身存在的安全缺陷,成為了攻擊者首要的攻擊對象。本文深入WIFI網(wǎng)絡(luò)的工作機(jī)制,探討了DNS解析原理,并在此基礎(chǔ)上對DNS欺騙攻擊進(jìn)行了詳細(xì)的探究與分析,并提出了相應(yīng)的防范措施。介紹了DNS劫持攻擊原理與防范方法。
釣魚攻擊 DNS欺騙 DNS劫持
在信息革命時代,中國的互聯(lián)網(wǎng)建設(shè)得到了飛速發(fā)展。無線WIFI網(wǎng)絡(luò)作為互聯(lián)網(wǎng)的接入部分,直接面向用戶,更是成為家喻戶曉的上網(wǎng)方式。然而無線WIFI網(wǎng)絡(luò)安全問題日益嚴(yán)峻。2015年6月1號,中國第二屆國家網(wǎng)絡(luò)安全宣傳周在北京正式開幕,報告指出免費WIFI“陷阱”已造成經(jīng)濟(jì)損失每年高達(dá)到50億。本文就利用無線WIFI網(wǎng)絡(luò)釣魚攻擊的原理進(jìn)行探討,并提出了有效的防范措施。
釣魚攻擊(Phishing),釣魚攻擊最顯著的特點就是偽造與竊取。攻擊者在竊取用戶的敏感信息后從事非法活動,如詐騙,盜取用戶錢財,倒賣用戶信息等,賺取非法利益。給用戶帶來極大損失,為互聯(lián)網(wǎng)環(huán)境帶來極大的安全隱患。
DNS(Domain Name System)及域名解析系統(tǒng),作為互聯(lián)網(wǎng)上的分布式系統(tǒng),使用有含義的域名來替代復(fù)雜難于記性的IP地址來訪問網(wǎng)站。
DNS解析大致可分為三種方式,主機(jī)chahe查詢,LocalDNS查詢,遞歸查詢。解析過程如下:
當(dāng)系統(tǒng)發(fā)起解析請求時,會先檢查本地hosts文件是否存在相應(yīng)的域名-IP映射,如果有則返回IP,解析完成。如果沒有相應(yīng)的映射,則查找本地DNS解析緩存,如果有則解析完成。
如果本地hosts與DNS解析緩存都沒有解析成功,則向LocalDNS服務(wù)器發(fā)起查詢,本地DNS服務(wù)器會先查詢本地配置資源,如果有則返回IP給客戶機(jī),解析完成,本解析具有權(quán)威性。如果本地配置資源解析失敗,則查詢LocalDNS解析緩存,如果有則返回解析結(jié)果給客戶機(jī),解析完成,本解析具不有權(quán)威性。
如果LocalDNS解析失敗,則進(jìn)行遞歸查詢。如果LocalDNS設(shè)置成非轉(zhuǎn)發(fā)模式,則發(fā)送查詢到根DNS服務(wù)器,根DNS服務(wù)器根據(jù)查詢域名返回相信的頂級域名DNS服務(wù)器的IP。LocalDNS服務(wù)器向返回的頂級域名服務(wù)器發(fā)起查詢請求,頂級域名服務(wù)器根據(jù)查詢請求返回下一級域名服務(wù)器IP,以此遞歸下去,直到解析完成。如果如果LocalDNS設(shè)置成非轉(zhuǎn)發(fā)模式,則向上級DNS服務(wù)器發(fā)起查詢,上級服務(wù)器收到查詢請求會根據(jù)是否設(shè)置成轉(zhuǎn)發(fā)模式,進(jìn)行上級DNS查詢,或者向根DNS發(fā)起查詢。
在此將DNS欺騙狹義的分為DNS欺騙(不包括DNS應(yīng)答報文偽造攻擊)與DNS劫持。
DNS欺騙攻擊往往與偽AP密不可分。基于偽AP的DNS欺騙攻擊,攻擊者在攻擊之前需要搭建偽AP,然后設(shè)置偽AP的SSID為知名的公共WIFI服務(wù)集標(biāo)識,如CMCC,ChinaUnicom,Chinanet等,或者設(shè)置成攻擊區(qū)域已存在WIFI的同名標(biāo)識,亦或者設(shè)置成獨有的免費WIFI。
根據(jù)802.11協(xié)議簇,WIFI終端優(yōu)先接入高dBm的無線網(wǎng)絡(luò),攻擊者往往增加偽AP的發(fā)射功率,誘使更多的用戶接入偽AP。
用戶的手持終端,如智能手機(jī),PAD等移動設(shè)備往往根據(jù)DHCP協(xié)議自動獲取IP和DNS信息。攻擊利用這一漏洞,設(shè)置AP的DNS信息為攻擊者事先搭建好的虛假DNS服務(wù)器,這樣用戶設(shè)備的DNS信息就指向了攻擊者事先搭建好的虛假DNS服務(wù)器。攻擊者在虛假DNS服務(wù)器建立虛假的域名-IP映射,使域名指向釣魚網(wǎng)站。當(dāng)用戶發(fā)起解析請求時,如解析www.ccb.com(建設(shè)銀行)時,返回的是攻擊者搭建的建設(shè)銀行的頁面,用戶在不知情的狀況下泄露了自己網(wǎng)上銀行的用戶名密碼等信息。
通過上述攻擊過程可以發(fā)現(xiàn),攻擊的重點在于向用戶設(shè)備傳遞虛假的DNS信息,使其指向虛假的DNS服務(wù)器。因此用戶可以關(guān)閉設(shè)備自動獲取DNS,手動設(shè)置成知名DNS,如114.114.114.114或223.5.5.5等。對于不能設(shè)置的終端,可以使用專用的APP進(jìn)行DNS信息的設(shè)置,也就有效的防止了DNS欺騙攻擊。
DNS使用UDP協(xié)議53端口進(jìn)行通信,當(dāng)進(jìn)行DNS解析時,主機(jī)會收到DNS應(yīng)答報文,應(yīng)答報文通過16位標(biāo)識字段來區(qū)分是對哪個DNS查詢的回應(yīng)。以此攻擊者可以偽造DNS應(yīng)答報文,若攻擊者偽造的DNS應(yīng)答報文先于正確的DNS應(yīng)答報文到達(dá)用戶主機(jī),主機(jī)會僅響應(yīng)偽造的DNS應(yīng)答報文,而丟棄正確的DNS應(yīng)答報文。攻擊著可以根據(jù)劫持的DNS查詢報文輕易的偽造出虛假DNS應(yīng)答報文,主機(jī)會根據(jù)虛假的DNS查詢結(jié)果訪問攻擊者搭建的釣魚網(wǎng)站。
DNS劫持利用了DNS設(shè)計出缺少對安全問題的考慮所帶來的安全漏洞。針對DNS劫持攻擊用戶可以使用IP地址訪問含有重要信息的網(wǎng)站,如使用106.37.193.78來訪問建設(shè)銀行而不是www.ccb. com。使用HttpDNS進(jìn)行域名解析而不是不安全的DNS。
總而言之,無線網(wǎng)絡(luò)的技術(shù)在不斷進(jìn)步,黑客的攻擊方式也在日新月異。推廣網(wǎng)絡(luò)安全技術(shù)是行之有效的解決方法。
[1]金雙齊,凌捷.無線網(wǎng)絡(luò)釣魚AP攻擊檢測技術(shù)研究[J].計算機(jī)應(yīng)用與軟件,2016,(10):307-310