欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对8月31日维基解密网站被入侵攻击的研究与监察

来源:本站整理 作者:佚名 时间:2017-09-12 TAG: 我要投稿

一个礼拜以前,维基解密遇到了一次入侵攻击,招致许多拜访者看到了“OurMine”的申明,他们宣称曾经获得了维基解密办事器的节制权。这次进击以后,许多人(包含维基解密的粉丝及其死对头)在没有基础知识与技巧功底,且未查明变乱本相的环境下,颁发了许多概念。以是在这里,作者从技巧性的察看角度,来陈说一些现实。

预测
第一:有些人看到的器械显著不是维基解密的网站,许多人拿出了如许或许那样的截图,而后便有人推想:维基解密的办事器被入侵,入侵者改动了其内容。这是一个异常勇敢的推想:由于从用户浏览器到网页表现的全部进程是相称繁杂的,此中有许多身分可以或许招致末了的断定失足。
第二:对付维基解密,另一种预测是办事器并没有被入侵,然则域名wikileaks.org被黑客当做目标且胜利接收,察看发明域名wikileaks.org并没有被剖析成以往的IP地点,而是被剖析到了另一个主机,这是若何完成的?效果是甚么样的?
察看与阐发
家喻户晓,对付互联网上的一些变乱,查询拜访起来平日都比拟艰苦,外部阐发师平日获得不到全体的数据,偶然阐发刚开端,就曾经太迟了,由于数据曾经转变了。而外部阐发师险些都是口若悬河,偶然乃至连蒙带骗。不可否定,有一些构造的交换是异常凋谢的(拜见Cloudflare申报或Gandi申报),然则他们只是破例。在这次的进击中,维基解密的反响更像是一个典型的公司,他们否定这个成绩,不向用户宣布任何有价值的器械,并试图渐渐淡化带来的影响。是以咱们阅读到的许多收集变乱的申明都没有充足的现实作为支持。由于维基解密身处浩繁热门争议的中间,成绩就变得更蹩脚了,由于没有任何有价值的回应,一些维基解密的粉丝就开端了妄加预测。
以是成绩的症结就在于域名wikileaks.org。为了说明究竟发生了甚么,咱们必要从DNS讲起,它作为将域名和IP地点互相映照的一个分布式数据库,可以或许令人更便利地拜访互联网。当一样平常Web浏览器拜访http://www.okstate.com/时,用户机械上的软件履行称号为www.okstate.com的DNS查问,并前往HTTP办事器的IP地点。末了连接到办事器。(注:一些黑客经由进程捏造DNS办事器将用户引向差错网站,以到达盗取用户隐衷信息的目标。这类DNS办事器大约有68000台。)
不外在一些环境下,域名持有者(如wikileaks.org)会抉择一个注册商,而后再注册商供给的节制面板中输出剖析的IP地点,假如应用了弱暗码,那末账号就异常容易被攻破,也便是账号被盗用,这类进击异常广泛,而且也说明了并不是一切进击都是异常高超的。
那末维基解密发生了甚么呢?咱们应用了基于主动DNS的DNSDB,它可以或许察看到DNS流量,并容许用户查问转变以前的环境。说了这么多,NDSDB里究竟有甚么?
;;  bailiwick: org.
;;      count: 9
;; first seen: 2017-08-30 04:28:40 -0000
;;  last seen: 2017-08-30 04:30:28 -0000
wikileaks.org. IN NS ns1.rivalhost.com.
wikileaks.org. IN NS ns2.rivalhost.com.
wikileaks.org. IN NS ns3.rivalhost.com.
;;  bailiwick: org.
;;      count: 474
;; first seen: 2017-08-30 04:20:15 -0000
;;  last seen: 2017-08-30 04:28:41 -0000
wikileaks.org. IN NS ns1.rival-dns.com.
wikileaks.org. IN NS ns2.rival-dns.com.
wikileaks.org. IN NS ns3.rival-dns.com.
在进击时代,注册表正在对不法的办事器组停止答复。
% dig @a0.org.afilias-nst.info. NS wikileaks.org
...
;; ->>HEADER- opcode: QUERY, status: NOERROR, id: 21194
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 3
...
;; AUTHORITY SECTION:
wikileaks.org. 86400 IN NS ns1.wikileaks.org.
wikileaks.org. 86400 IN NS ns2.wikileaks.org.
;; ADDITIONAL SECTION:
ns1.wikileaks.org. 86400 IN A 46.28.206.81
ns2.wikileaks.org. 86400 IN A 46.28.206.82
...
;; SERVER: 2001:500:e::1#53(2001:500:e::1)
;; WHEN: Fri Sep 01 09:18:14 CEST 2017
...
以是称号办事器被窜改了,依据DNSDB,这些地痞办事器供给了一组分歧的NS(称号办事器):
;;  bailiwick: wikileaks.org.
;;      count: 1
;; first seen: 2017-08-31 02:02:38 -0000
;;  last seen: 2017-08-31 02:02:38 -0000
wikileaks.org. IN NS ns1.rivalhost-global-dns.com.
wikileaks.org. IN NS ns2.rivalhost-global-dns.com.
要留意的是,DNS主机Rival并不是这次进击的共犯,这能够只是一些地痞客户。当今,大多数大型办事供给商中都存在这类环境。
当你将一切内容答复复兴时,可以或许看到末了一次变动whois输出的日期:
% whois wikileaks.org
...
Updated Date: 2017-08-31T15:01:04Z
很显著,地痞称号办事器正在供给指向“假”网站的IP地点。再次回到DNSDB中:
;;  bailiwick: wikileaks.org.
;;      count: 44
;; first seen: 2017-08-30 04:29:07 -0000
;;  last seen: 2017-08-31 07:22:05 -0000
wikileaks.org. IN A 181.215.237.148
维基解密的失常IP地点前缀为95.211.113.XXX,141.105.XXX和195.35.109.XXX(假如你想要检查它们,可以或许应用DNS Looking Glass), 181.215.237.148是由Rival托管的地痞网站的IP,你可以或许应用whois对象查问:
% whois 181.215.237.148
inetnum:     181.215.236/23
status:      reallocated
owner:       Digital Energy Technologies Chile SpA

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载