Let*_*t4U 2 security domain-name-system attacks
其他人在.maTLD 中注册了一个指向我的网络服务器 IP 地址的名称。
我的域名 foo.bar -> 我的 ip 地址 1.2.3.4
有人定义:
可疑域.ma -> 我的 IP 地址 1.2.3.4
所以这看起来与典型的 DNS 欺骗相反。
问题:
这是在为其他攻击做准备吗?例如,人们登录到可疑域名.ma 网站,然后可疑域名.ma 会在一段时间后更改 IP 地址并将流量重定向到用于窃取凭据的“中间人”服务器?
防止这种情况的最佳方法是什么?
我正在考虑在Host:标头上阻止 HTTP 请求(即拒绝所有没有Host: foo.bar设置标头的 http 请求)。这会有效吗,也就是说,攻击者没有合理的方法可以滥用它吗?(那个标题是由浏览器设置的吗?)
在页面中嵌入 javascript 代码以防止这种情况不一定有效,因为攻击者毕竟可以在将 DNS 切换到“中间人”服务器地址时删除此代码。
您可以通过显式定义ServerName指令在网络服务器级别轻松防止这种情况。不匹配的主机只会被引导到默认页面(或您选择的任何页面)。
这是可能的欺骗Host:头,但这样可以防止最常见的方式。更具破坏性的是,可疑域会在您的域上复制内容,这会损害 SEO 评级(搜索引擎讨厌重复的网站),因此 Apache 修复程序可以解决问题。