宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > SOL > 正文

详解DNS劫持,如何防范相关风险?

作者:

时间:1900/1/1 0:00:00

原文作者:余弦,慢雾科技创始人

DNSHijacking(劫持)大家应该都耳濡目染了,历史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十来个知名加密货币项目都遭遇过。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我这里做个简单分享。

DNS可以让我们访问目标域名时找到对应的IP:

Domain->IP_REAL

如果这种指向关系被攻击者替换了:

Domain->IP_BAD(攻击者控制)

FTX创始人SBF在巴哈马签署引渡文件:金色财经报道,前FTX首席执行官Sam Bankman-Fried签署从巴哈马返回美国的引渡文件,他将于周三再次出庭。据报道,这位前FTX老板在周一的法庭听证会上同意在美国面对指控。

Bankman-Fried在上周的起诉中面临多项欺诈指控,如果所有罪名成立,可能会在监狱中服刑几十年。[2022/12/21 21:57:23]

那这个IP_BAD所在服务器响应的内容,攻击者就可以任意伪造了。最终对于用户来说,在浏览器里目标域名下的任何内容都可能有问题。

DNS劫持其实分为好几种可能性,比如常见的有两大类:

Coinbase确认其代表灰度持有约63.5万枚BTC是安全的:金色财经报道,Coinbase确认其代表Grayscale Bitcoin Trust持有约63.5万枚BTC是安全的。Coinbase会定期执行“链上验证”以确认数量的BTC的存在和安全。[2022/11/22 7:54:18]

域名控制台被黑,攻击者可以任意修改其中的DNSA记录(把IP指向攻击者控制的IP_BAD),或者直接修改Nameservers为攻击者控制的DNS服务器;

在网络上做粗暴的中间人劫持,强制把目标域名指向IP_BAD。

第1点的劫持可以做到静默劫持,也就是用户浏览器那端不会有任何安全提示,因为此时HTTPS证书,攻击者是可以签发另一个合法的。

Klaytn宣布与OpenSea达成合作:金色财经报道,Klaytn Foundation和OpenSea宣布了一项针对亚洲NFT生态系统的合作,这些努力包括非功能性金融会议和生态系统发展倡议。到目前为止,Klaytn已经在亚洲建立了强大的合作伙伴,其中包括新加坡的Altava集团、泰国的East NFT、日本的Soramitsu和中国的区块链服务网络(BSN)。项目和开发人员还可以利用Klaytn增长基金(KGF)、开发人员工具和资源,并期待Klaytn通过入局战略合作伙伴构建的端到端元域支持包,以提供基础设施和其他支持服务。(prnewswire)[2022/6/24 1:28:11]

第2点的劫持,在域名采用HTTPS的情况下就没法静默劫持了,会出现HTTPS证书错误提示,但用户可以强制继续访问,除非目标域名配置了HSTS安全机制。

Otherdeed系列NFT 24小时交易额为265万美元:金色财经消息,据NFTGo.io数据显示,Otherdeed系列NFT总市值达10.4 亿美元,在所有NFT项目总市值排名中位居第3;其24小时交易额为265.21万美元,增幅达31.25%。截止发稿时,该系列NFT当前地板价为2.84ETH,下跌10.72%。[2022/5/27 3:44:36]

重点强调下:如果现在有Crypto/Web3项目的域名没有强制HTTPS(意思是还存在HTTP可以访问的情况),及HTTPS没有强制开启HSTS(HTTPStrictTransportSecurity),那么对于第2点这种劫持场景是有很大风险的。大家擦亮眼睛,一定要警惕。

对于项目方来说,除了对自己的域名HTTPSHSTS配置完备之外,可以常规做如下安全检查:

检查域名相关DNS记录(A及NS)是否正常;

检查域名在浏览器里的证书显示是否是自己配置的;

检查域名管理的相关平台是否开启了双因素认证;

检查Web服务请求日志及相关日志是否正常。

对于用户来说,防御要点好几条,我一一讲解下。

对于关键域名,坚决不以HTTP形式访问,比如:

http://examplecom

而应该始终HTTPS形式:

https://examplecom

如果HTTPS形式,浏览器有HTTPS证书报错,那么坚决不继续。这一点可以对抗非静默的DNS劫持攻击。

对于静默劫持的情况,不管是DNS劫持、还是项目方服务器被黑、内部作恶、项目前端代码被供应链攻击投等,其实站在用户角度来看,最终的体现都一样。浏览器侧不会有任何异常,直到有用户的资产被盗才可能发现。

那么这种情况下用户如何防御呢?

用户除了保持每一步操作的警惕外。

我推荐一个在Web2时代就非常知名的浏览器安全扩展:@noscript(推特虽然很久很久没更新,不过惊喜发现官网更新了,扩展也更新了),是@ma1的作品。

NoScript默认拦截植入的JavaScript文件。

但是NoScript有一点的上手习惯门槛,有时候可能会很烦,我的建议是对于重要的域名访问可以在安装了NoScript的浏览器(比如Firefox)上进行,其他的尽管在另一个浏览器(如Chrome)上进行。

隔离操作是一个很好的安全习惯。许多你可能觉得繁琐的,驾驭后、习惯后,那么一切都还好。

但是这并不能做到完美防御,比如这次@CurveFinance的攻击,攻击者更改了其DNSA记录,指向一个IP_BAD,然后污染了前端页面的:

https://curvefi/js/app.ca2e5d81.js

植入了盗币有关的恶意代码。

如果我们之前NoScript信任了Curve,那么这次也可能中招。

可能有人会说了要不要多安装一些浏览器安全扩展,我的看法之前已经提过:

这个话题我暂时先介绍到这,目的是尽可能把其中要点进行安全科普。至于其他一些姿势,后面有机会我再展开。

标签:HTTTPSDNSNFThtt币价格今日行情https://etherscan.iodns币的价格apenft币的未来价值

SOL热门资讯
参与USDT、TRX定期赚币,享最高18%APY收益

亲爱的用户: 为感恩广大用户对CoinW的喜爱和支持,CoinWEarn将于8月10日18:00开启赚币活动.

1900/1/1 0:00:00
Daily Live Streaming Preview: Aug 12

Gate.ioLiveStreamiscommittedtocreatingabrand-newlivestreamingecosystemfortheblockchainindustry.

1900/1/1 0:00:00
USDC发行商称其是唯一支持以太坊合并后的PoS链

以太坊合并(TheMerge)的脚步初步预计将在2022年9月19日的当周启动,而PoW分叉相关争论也在不断的升温。直到今天,市值第二大的美元稳定币发行商Circle正式发文表态,称其将全力支持以太坊向权益证明(PoS)链的转变.

1900/1/1 0:00:00
WazirX:用户将资金转移到国际交易所可能会不合规,其没有TDS框架

8月9日消息,WazirX表示,鉴于最近的事态发展,注意到用户选择将资金提取到国际交易所。然而,在这个过程中,他们可能在不知不觉中不合规。因为国际交易所没有TDS框架,对用户的真实身份或交易规模一无所知.

1900/1/1 0:00:00
七夕好礼传心意【活动四奖励已派发】

七夕好礼传心意天天奖励送不停活动时间:2022/07/2712:00?至?2022/08/0911:59 活动四:七夕周周加码抽 元宇宙基础设施提供商MetaGravity完成950万美元融资:金色财经报道.

1900/1/1 0:00:00
KALI买币送空投,瓜分2,000,000 KALI!

亲爱的BitMart用户,KALISSA(KALI)?于2022年8月12日17:00(UTC8)上线BitMart!为庆祝KALI上线,我们向广大用户开放买币送空投活动—瓜分2,000.

1900/1/1 0:00:00