压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

最近波蘭CERT一篇名為的文章引起我們的注意，原文地址：(https://www.cert.pl/news/8019/langswitch_lang/en)，報(bào)告中寫到：“很多家用路由器存在未授權(quán)的遠(yuǎn)程修改配置漏洞導(dǎo)致了這次事件的發(fā)生。黑客通過(guò)在網(wǎng)上銀行頁(yè)面中注入了惡意的javascript代碼欺騙用戶輸入賬號(hào)密碼和交易確認(rèn)碼，最終竊取了用戶銀行里面的錢。”

很多朋友收到此消息后給我們留言拋出這樣的疑問(wèn)：

這個(gè)和去年的有什么不同?

修改路由器dns劫持，國(guó)內(nèi)已經(jīng)有好多了，但是沒聽說(shuō)過(guò)洗錢的。

我只聽說(shuō)過(guò)能夠dns劫持我的HTTP請(qǐng)求，HTTPS也不安全啊?

更多朋友所不知道的是，HTTPS加密請(qǐng)求也能嗅探到?

什么是HTTPS：

HTTPS是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。句法類同http:體系，用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTPS。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗(yàn)證與加密通訊方法，現(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付方面。

之所以大家都認(rèn)為不能嗅探HTTPS請(qǐng)求的原因是來(lái)自對(duì)加密SSL層的信任，那么黑客是怎么做到的嗅探HTTPS?

簡(jiǎn)單的說(shuō)黑客為了繞過(guò)HTTPS，采用了SSL層剝離的技術(shù)，黑客阻止用戶和使用HTTPS請(qǐng)求的網(wǎng)站之間建立SSL連接，使用戶和代理服務(wù)器(攻擊者所控服務(wù)器)之間使用了未加密的HTTP通信。

攻擊細(xì)節(jié)

黑客(攻擊者)使用了一款工具來(lái)實(shí)施攻擊-SSLStrip，他能夠阻止用戶和使用HTTPS請(qǐng)求的網(wǎng)站之間建立SSL層連接，進(jìn)行中間人劫持(類似于ARP欺騙)。

上面就是使用sslstrip進(jìn)行嗅探內(nèi)網(wǎng)某設(shè)備的截圖

SSLStrip的工作原理：

進(jìn)行中間人攻擊來(lái)劫持HTTP請(qǐng)求流量。

將出現(xiàn)的HTTPS鏈接全部替換為HTTP，同時(shí)記錄所有改變的鏈接。

使用HTTP與受害者機(jī)器鏈接。

同時(shí)與合法的服務(wù)器建立HTTPS。

受害者與合法服務(wù)器之間的全部通信請(qǐng)求經(jīng)過(guò)代理(攻擊者服務(wù)器)轉(zhuǎn)發(fā)。

完成劫持請(qǐng)求

攻擊的流程原理可用下圖表示：

有關(guān)波蘭遭遇大規(guī)模DNS劫持用戶網(wǎng)上銀行的事件中，因?yàn)槭褂肧SLStrip會(huì)提醒用戶連接沒有使用SSL加密，黑客為了迷惑用戶，重寫了URL，在域名前加了“ssl-.”的前綴，當(dāng)然這個(gè)域名是不存在的，只能在黑客的惡意DNS才能解析。

這件事情的源頭是因?yàn)閆ynOS路由器出現(xiàn)漏洞，導(dǎo)致的大批量DNS劫持，有關(guān)ZynOS漏洞利用攻擊代碼已經(jīng)在Github上有人放出來(lái)了，整個(gè)流程如下：

1.攻擊者批量劫持用戶DNS

2.重寫URL迷惑用戶

3.使用SSLStrip進(jìn)行請(qǐng)求劫持

4.完成劫持

波蘭這次事件主要是黑客利用路由漏洞進(jìn)行了大范圍DNS劫持然后使用sslstrip方法進(jìn)行嗅探，這次方法要比之前單純的DNS劫持有趣的多，當(dāng)然危害也大的多。

解決方案

這種攻擊方式馬上會(huì)在國(guó)內(nèi)展開攻擊，這種攻擊往往不是基于服務(wù)端，特別是SSL Stripping技術(shù)，其攻擊手法不是針對(duì)相應(yīng)固件也不是利用固件漏洞，所以大家有必要好好看一下解決方案，真正的把DNS防御杜絕在門外!

檢查DNS是否正常

拿TP-Link舉例，瀏覽器訪問(wèn)192.168.1.1(一般是這個(gè)，除非你改了)，輸入賬號(hào)密碼登陸(默認(rèn)賬號(hào)密碼在說(shuō)明書上都有)-> 網(wǎng)絡(luò)參數(shù)-> WAN口設(shè)置-> 高級(jí)設(shè)置-> 看看里面DNS的IP是否勾選了“手動(dòng)設(shè)置DNS服務(wù)器”。

* 如果你沒有人工設(shè)置過(guò)，但勾選了，那就要警惕是否被黑客篡改了。

* 如果沒勾選，一般情況下沒有問(wèn)題。

* 檢查DNS IP是否正常：在百度上搜索下里面的DNS IP看看是不是國(guó)內(nèi)的，如果是國(guó)外的則需要警惕了!除非是Google的8.8.8.8這個(gè)，看看百度的搜索結(jié)果有沒有誰(shuí)討論過(guò)這個(gè)DNS IP的可疑情況，有些正常DNS IP也會(huì)有人討論質(zhì)疑，這個(gè)需要大家自行判斷一下，實(shí)在沒把握就設(shè)置DNS IP如下：

主DNS服務(wù)器：114.114.114.114，備用DNS服務(wù)器為：8.8.8.8

關(guān)于其他品牌如何修改查看或者修改DNS的話，和上面步驟也差不多，實(shí)在找不到的話就百度一下，多方便。

如果發(fā)現(xiàn)被攻擊的痕跡，重置路由器是個(gè)好辦法，當(dāng)然下面的步驟是必須的：

修改路由器Web登陸密碼

路由器一般都會(huì)有Web管理頁(yè)面的，這個(gè)管理界面的登陸密碼記得一定要修改!一般情況下默認(rèn)賬號(hào)密碼都是admin，把賬號(hào)密碼最好都修改的復(fù)雜點(diǎn)兒吧!

上面的步驟都是人工的，我們另外準(zhǔn)備了工具(建議結(jié)合使用)：DNS劫持惡意代碼檢測(cè)

開啟計(jì)算機(jī)防火墻以及安裝殺軟也能有效的防御此類攻擊。當(dāng)然https還是安全的，只不過(guò)登陸相應(yīng)https網(wǎng)站或者涉及敏感隱私/金錢交易網(wǎng)站時(shí)候注意網(wǎng)址左側(cè)的證書顏色，綠色黃色紅色分別代表不同級(jí)別!