比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads
首頁 > BNB > Info

HTT:詳解DNS劫持,如何防范相關風險?

Author:

Time:1900/1/1 0:00:00

原文作者:余弦,慢霧科技創始人

DNSHijacking(劫持)大家應該都耳濡目染了,歷史上MyEtherWallet、PancakeSwap、SpiritSwap、KLAYswap、ConvexFinance等等以及今天的CurveFinance,十來個知名加密貨幣項目都遭遇過。但很多人可能不一定知道其劫持的根本原因,更重要的是如何防御,我這里做個簡單分享。

DNS可以讓我們訪問目標域名時找到對應的IP:

Domain->IP_REAL

如果這種指向關系被攻擊者替換了:

Domain->IP_BAD(攻擊者控制)

俄羅斯央行即將披露真實數字盧布試點業務的開始情況:金色財經報道,俄羅斯央行宣布將于莫斯科時間8月9日上午11點召開新聞發布會,披露真實數字盧布試點業務的開始情況。該公告是該國央行朝著數字貨幣愿景邁出的重要一步。俄羅斯央行一直致力于開發和測試數字盧布,這將實現快速、安全的交易。[2023/8/9 21:34:09]

那這個IP_BAD所在服務器響應的內容,攻擊者就可以任意偽造了。最終對于用戶來說,在瀏覽器里目標域名下的任何內容都可能有問題。

DNS劫持其實分為好幾種可能性,比如常見的有兩大類:

域名控制臺被黑,攻擊者可以任意修改其中的DNSA記錄(把IP指向攻擊者控制的IP_BAD),或者直接修改Nameservers為攻擊者控制的DNS服務器;

數據:約52.2%的比特幣網絡使用清潔能源:金色財經報道,Climate Tech副主席Daniel Batten最近的分析顯示,29家礦業公司占整個比特幣(BTC)網絡的16.48%,并使用90-100%的清潔能源運行。該百分比還表明,所有BTC網絡中有52.2%使用清潔能源。2020年BTC的可再生能源使用率一直徘徊在40%以上,但這一比例在2021年下降到28.48%。但自2022年初以來,清潔能源的使用量一直在上升。比特幣礦業委員會也在2022年5月發布了一份報告,該報告稱58.4%的BTC挖礦已經使用清潔能源。埃隆·馬斯克此前聲稱,當確認礦工使用了合理比例的清潔能源(約50%)且這種趨勢確立的話,特斯拉將恢復用比特幣交易。人們的目光尤其轉向了這一主題。(Cryptoslate)[2022/12/8 21:31:54]

在網絡上做粗暴的中間人劫持,強制把目標域名指向IP_BAD。

馬斯克:未從SBF/FTX獲得任何投資,SBF不持有Twitter作為私人公司的股份:11月24日消息,Elon Musk發推回應新聞媒體Semafor主編Ben Smith稱,“我和Twitter都沒有從SBF/FTX獲得任何投資,你的文章在撒謊”,并表示“Semafor歸SBF所有,這與其報告存在巨大利益沖突”,并駁斥了任何關于SBF擁有Twitter股份的說法,

“SBF可能持有作為上市公司的Twitter的股份,但他肯定不擁有Twitter作為私人公司的股份”。

據悉,Semafor此前發布一份報告,稱SBF為現已私有化的Twitter貢獻了1億美元的股票。[2022/11/24 8:02:44]

第1點的劫持可以做到靜默劫持,也就是用戶瀏覽器那端不會有任何安全提示,因為此時HTTPS證書,攻擊者是可以簽發另一個合法的。

澳元疲軟迫使澳洲聯儲加息50個基點:10月3日消息。澳洲聯儲9月會議就加息25和50個基點進行了討論,這給人一種有可能放緩加息步伐的印象。澳洲聯儲主席洛威一直表示希望現金利率在2.5-3.5%之間,未來會議上再多次加息。這表明,在當前利率2.35%低于區間底部的情況下,還有相當多的工作要做。關鍵問題是,這兩個信號都是在美聯儲9月21日采取更積極行動之前發生的,美聯儲大部分重點放在更鷹派的點陣圖上。面對美元強勢,澳元持續疲軟推升進口價格,澳洲聯儲恐迫切需要加息50個基點。(金十)[2022/10/3 18:38:28]

第2點的劫持,在域名采用HTTPS的情況下就沒法靜默劫持了,會出現HTTPS證書錯誤提示,但用戶可以強制繼續訪問,除非目標域名配置了HSTS安全機制。

重點強調下:如果現在有Crypto/Web3項目的域名沒有強制HTTPS(意思是還存在HTTP可以訪問的情況),及HTTPS沒有強制開啟HSTS(HTTPStrictTransportSecurity),那么對于第2點這種劫持場景是有很大風險的。大家擦亮眼睛,一定要警惕。

對于項目方來說,除了對自己的域名HTTPSHSTS配置完備之外,可以常規做如下安全檢查:

檢查域名相關DNS記錄(A及NS)是否正常;

檢查域名在瀏覽器里的證書顯示是否是自己配置的;

檢查域名管理的相關平臺是否開啟了雙因素認證;

檢查Web服務請求日志及相關日志是否正常。

對于用戶來說,防御要點好幾條,我一一講解下。

對于關鍵域名,堅決不以HTTP形式訪問,比如:

http://examplecom

而應該始終HTTPS形式:

https://examplecom

如果HTTPS形式,瀏覽器有HTTPS證書報錯,那么堅決不繼續。這一點可以對抗非靜默的DNS劫持攻擊。

對于靜默劫持的情況,不管是DNS劫持、還是項目方服務器被黑、內部作惡、項目前端代碼被供應鏈攻擊投等,其實站在用戶角度來看,最終的體現都一樣。瀏覽器側不會有任何異常,直到有用戶的資產被盜才可能發現。

那么這種情況下用戶如何防御呢?

用戶除了保持每一步操作的警惕外。

我推薦一個在Web2時代就非常知名的瀏覽器安全擴展:@noscript(推特雖然很久很久沒更新,不過驚喜發現官網更新了,擴展也更新了),是@ma1的作品。

NoScript默認攔截植入的JavaScript文件。

但是NoScript有一點的上手習慣門檻,有時候可能會很煩,我的建議是對于重要的域名訪問可以在安裝了NoScript的瀏覽器(比如Firefox)上進行,其他的盡管在另一個瀏覽器(如Chrome)上進行。

隔離操作是一個很好的安全習慣。許多你可能覺得繁瑣的,駕馭后、習慣后,那么一切都還好。

但是這并不能做到完美防御,比如這次@CurveFinance的攻擊,攻擊者更改了其DNSA記錄,指向一個IP_BAD,然后污染了前端頁面的:

https://curvefi/js/app.ca2e5d81.js

植入了盜幣有關的惡意代碼。

如果我們之前NoScript信任了Curve,那么這次也可能中招。

可能有人會說了要不要多安裝一些瀏覽器安全擴展,我的看法之前已經提過:

這個話題我暫時先介紹到這,目的是盡可能把其中要點進行安全科普。至于其他一些姿勢,后面有機會我再展開。

Tags:HTTTPSDNSSBFhtt幣騙局tps幣圈dns幣的價格sbf幣圈央媽

BNB
WEB:歐易Web3錢包關于Ethereum網絡升級和硬分叉的公告

尊敬的歐易用戶:以太坊預計于2022年第三季度/第四季度進行合并升級,屆時目前的以太坊主網將并入采用權益證明(ProofofStake)的以太坊信標鏈。在以太坊合并升級的過程中,可能產生硬分叉.

1900/1/1 0:00:00
DEFI:公鏈爆發 vs 以太坊DeFi疲軟

像大多數突破性的理念一樣,一套新的理念在誕生之初通常并不完善,比特幣、電子游戲、互聯網、s機等都是如此.

1900/1/1 0:00:00
ORN:「奮力自救」:Tornado Cash DAO提議通過法律途徑對抗美國制裁

本文來自?The?Block,原文作者:OsatoAvan-NomayoOdaily星球日報譯者?|念銀思唐美國財政部最近對TornadoCash實施的制裁.

1900/1/1 0:00:00
DIV:ZT創新板即將上線AION

親愛的ZT用戶: ZT創新板即將上線</article><divclass="news_detail_footer-hujt"><divclass="detail_top-hujt"&.

1900/1/1 0:00:00
BTC:Coinbase:熊市下的BTC閃電網絡現狀如何?

原文來源:CoinbaseBlog 原文編譯:白澤研究院 注:本文不代表Coinbase計劃增加對比特幣閃電網絡的支持,僅是該公司研究人員在研究其潛力后的分享.

1900/1/1 0:00:00
PEA:Pearcoin:趨勢未改變,亞洲投資者成ETH抄底最大動力

上周末一切都十分完美,不僅價格沒大跌,連市場情緒都上升了,周日47,周一45,BTC持倉多空比1.08,期權成交PCR0.45,屬于看多優勢。由于之前一些分析師的錯誤估計,導致爆倉數據回升較快.

1900/1/1 0:00:00
ads