Part1 前言
攻击事件描述如下:当时有几个区的部分用户访问一些网站会跳出菠菜、色情页面,最后工作人员发现这些用户的家用路由器DNS都被篡改了,这些DNS统计下来有几十个,部分DNS服务器被威胁情报标记为恶意ip,然后部分路由器密码也被重置。将路由器恢复出厂设置之后,一切恢复正常,但是发现过几天DNS又会被篡改,最后客户通过屏蔽恶意DNS服务器ip地址,解决了这一次攻击事件。
这个事件过去很多年了,攻击者是如何将内网用户的网络设备的DNS改掉的,到现在也没有定论。这几年自己补充了不少基础知识,同时与一个研究路由器固件漏洞的小伙讨论,对以前的资料进行整理分析,最终得出的结论应该就是“DNS重绑定攻击”造成的。
Part2 部分观点研判
首先简单对当时的一些观点进行简要分析:
1 tp-link开启了远程访问功能,存在弱口令。这个不太可能,几乎所有用户家里的路由器买了之后就不会动,没有造成大量用户中招的可能性。
2 使用tp-link的CSRF修改DNS配置漏洞。这个可能性是有,但是tplink这个版本是没有默认密码的,但是不排除普通家庭宽带用户都会把默认密码改为123456等等简单密码,给攻击者带来便利。
3 路由器远程代码执行。这个之前我认为可能性不大,现在认为可能性也是有的。现在的安全研究技术总是在进步,挖掘一个路由器的栈溢出漏洞,已经不像10几年前难度那么大了,而且能够稳定利用。
4 DNS重绑定攻击。前面几种观点,都不能圆满解释攻击者是如何从外网打内网设备的,DNS重绑定攻击是一种可能的手段,接下来看具体分析过程。
Part3 前置基础知识
-
DNS重绑定攻击介绍
DNS重绑定攻击过程如下:攻击者事先构造好一个网站,想办法以各种形式让用户访问到。当受害者点开一个不明链接地址后,用户就会中招,这个链接地址的网页在用户不知情情况下,绕过浏览器同源限制,以网页中的js代码发起几个http请求,对用户所在内网的设备如TP-Link路由器、物联网设备等发起攻击。由此可见,DNS重绑定攻击是可以从外网直接对内网设备进行攻击的。
-
浏览器同源策略
同源策略SOP指的是“协议+域名+端口”三者相同,现在主流的浏览器都会使用这个策略。但是同源策略是“协议+域名+端口”,但不是“协议+ip地址+端口”,这就给攻击者可乘之机。
-
DNS记录的TTL时间
当各地的DNS服务器接受到解析请求时,就会向域名指定的授权DNS服务器发出解析请求从而获得解析记录,这个记录在DNS服务器上保留的时间,就是TTL值。这里需要指出的一点,谷歌chrome浏览器自己也有一个TTL时间,即使你的DNS服务器TTL设置为0,那么谷歌也会在一分钟之后才不用用缓存。
Part4 DNS重绑定攻击过程
为了很好地解释宽带用户内网的家用路由器,在不通外网的情况下,如何被攻击者篡改路由器的DNS记录的,我画了一个比较直观的示意图,方便大家理解“DNS重绑定攻击”。
-
DNS重绑定攻击示意图
攻击者首先需要能控制DNS解析记录,可以使自己搭建的DNS服务器,自己是域名拥有者。在用户第一次访问www.hacker.com时,DNS返回域名解析记录为攻击者的恶意服务器111.222.333.111,后续访问都解析到192.168.1.1。这样当受害者访问攻击者的页面(http://www.hacker.com)的时候,会从攻击者的服务器上拉取JS攻击代码,后面的对www.hacker.com域名的请求,会指向本地192.168.1.1。虽然DNS解析指向的服务器变了,但是域名没变,浏览器仍然遵循同源策略,这样就可以对内网的路由器进行攻击了。
-
新手的疑问
这里新手朋友可能会有一个疑问,为啥要绕这么大一个弯子?直接写一个网页放www.hacker.com域名上,用js写一段代码直接对内网设备发起http请求http://192.168.1.1/login.html?exp=xxx进行攻击呢?
我们构造一个网页,用浏览器访问一下看看结果,发现是不行的,被浏览器同源策略给阻拦了,不允许跨域。
至此DNS重绑定攻击就讲完了,当时的日志记录没有留存,没法找到关键证据,所以对于这次攻击事件,上述只是我个人的猜测,不一定是最终的准确答案。大家有什么见解,可以在公众号后台给我留言。这里还引出一个问题,攻击者有哪些手段可以控制DNS服务器的解析记录呢?请关注本公众号,后续会写文章专门讲解。
Part5 修复方案及总结
1. 内网设备都要开启CSRF策略。
2. 内网的网络设备需要对http请求的host头进行校验,查看是否是合法请求。
3. 对http请求头进行referer校验。
4. 升级网络设备到最新版本,及时更新补丁,并且杜绝网络设备弱口令现象。
5. 内网网络设备可以尽量使用HTTPS而不是HTTP,发生DNS重绑定攻击时,会无效的SSL证书,安全警告将阻止你的请求。
6. 过滤DNS响应中的私有IP范围等可疑IP地址。
专注于网络安全技术分享,包括红队攻防、蓝队分析、渗透测试、代码审计等
每周一篇,99%原创,敬请关注
原文链接:https://blog.csdn.net/m0_71692682/article/details/128229712