近日,以太坊联合创始人Vitalik Buterin在社交平台上发布警告,提醒用户不要访问他的个人博客以及任何eth.limo的链接。此次紧急避险公告的背后,是一场针对Web3核心域名服务、策划周密的域名劫持事件。
一场精心策划的社会工程学攻击
eth.limo是一个免费的公共ENS网管,主要负责将以太坊的.eth区块链域名转换成浏览器可访问的HTTPS内容,每天要处理300到600万次请求,是Web3世界面向大众的重要门户。
而此次黑客的攻击目标,正是eth.limo的域名控制权。从eth.limo团队与域名注册商EasyDNS事后发布的分析来看,攻击者并没有采用复杂的技术手段,而是采用了更简单却高明的社会工程学攻击。
攻击者先是伪装成eth.limo的员工,联系到EasyDNS的客服,声称要恢复域名账户的访问权限。在取得了客服的信任后,攻击者获得了eth.limo域名的控制权,随后修改域名的NS记录,将其指向第三方DNS服务器。
如果攻击奏效,所有访问“*.eth.limo”域名的用户,都会被引导至攻击者控制的恶意网站,进而面临信息泄露、财产损失等风险。
所幸,eth.limo提前部署了DNSSEC协议,这相当于为DNS解析添加了一道不可伪造的数字签名。攻击者无法提供匹配的签名,DNS服务器在验证失败后将篡改后的解析记录丢弃,使得这次攻击未能生效。
虽然没有造成实际损失,但此事仍然给全行业敲响了警钟:域名劫持事件愈演愈烈,已然成为破坏互联网正常秩序的重大威胁,需引起各行业的高度警惕和重视。
域名劫持的常见类型与危害
广义域名劫持也常统称DNS劫持,是指通过技术手段或社会工程学等方式,篡改域名解析记录,将用户的合法请求指向恶意网站,用于流量劫持、数据窃取等非法活动。根据攻击手段不同,广义上的域名劫持主要可以分为以下几种类型:
1.本地hosts劫持
攻击者篡改用户设备中的hosts文件,添加“域名-IP”的错误映射关系。当用户访问域名时,会优先读取hosts文件中的记录,从而被导向恶意站点。这类攻击范围小,只影响单台设备。
2.本地DNS设置劫持
攻击者篡改用户设备中的DNS服务器设置,将其修改为攻击者控制的服务器。用户所有的解析请求都会发往恶意DNS服务器,并返回虚假的IP地址,同样攻击范围小,只影响单台设备。
3.路由器DNS劫持
攻击者篡改路由器中的DNS配置,使得局域网内所有解析请求都会被指向恶意的DNS服务器和站点。这类攻击会批量劫持内网用户,且隐蔽性较强。
4.中间人劫持
攻击者拦截正常的DNS请求,伪造响应包抢先返回错误的IP。这种攻击方式不需要控制服务器,只劫持通信链路,常见于公共网络。
5.DNS缓存投毒
攻击者利用DNS系统中的缓存机制,向递归DNS服务器中注入伪造的解析记录,污染服务器中的DNS缓存,从而将请求该DNS服务器的用户重定向到恶意网站。这类攻击方式传播速度快、影响范围广。
6.运营商劫持
部分运营商出于广告投放或政策管控等原因,可能会篡改用户的某些DNS请求,将其指向广告页,或插入强制跳转。这类劫持方式隐蔽性强,用户很难察觉。
7.权威DNS劫持
攻击者直接窃取域名的控制权限,篡改A记录、CNAME记录、NS记录等核心配置。这类攻击方式影响覆盖全网用户,是危害最大的一种劫持方式,上述eth.limo事件便属于此类劫持。
域名劫持多维度应对策略
结合eth.limo事件以及各类域名劫持的特点,企业和机构可以采取以下措施来应对频发的域名劫持风险:
1.部署DNSSEC
从eth.limo事件可见,DNSSEC是抵御域名劫持最有效的手段之一。启用DNSSEC协议,会对DNS解析数据进行签名和验证,来确保解析记录的真实可靠,即便域名权限被窃取,也能在一定程度上阻断非法记录生效。
2.加强账户安全
很多域名劫持都是从攻破域名账户开始的,所以强化域名账户的安全等级十分有必要。建议采用高强度密码,选择支持多因素认证、高安全等级的域名注册商,关闭不必要的账户恢复功能,封堵权限泄露风险。
3.启用域名锁定
域名锁能够锁定域名转移过户、DNS解析配置修改等关键操作。启用域名锁后,任何敏感操作都需要经过专人审核,未经授权无法进行,从操作层面杜绝非法篡改的可能。
4.优先使用.CN国家顶级域
.CN是中国国家顶级域,由中国互联网络信息中心(CNNIC)管理,独立可控,不受国外政策影响。使用.CN域名,可有效降低对传统顶级域的依赖,规避受国外政策影响带来的域名扣押风险。
5.申请自有新通用顶级域
ICANN已于近期开放了第二轮新通用顶级域申请,这对企业和机构进行更进一步的域名安全保护提供了一个很好的契机。申请专属的新通用顶级域,可以更进一步摆脱对第三方机构的依赖,实现域名从注册到解析全流程的自主可控,从根本上解决域名劫持、抢注等问题,还能进一步提升品牌权威性和辨识度。
国科云域名安全立体防护体系
针对DNS劫持、缓存投毒、DDoS攻击等全场景的域名安全威胁,国科云依托成熟的技术能力和丰富的实践经验,打造涵盖账户安全、解析安全、数据安全、服务保障、监测预警、操作管控的全方位、立体化域名安全防护体系,为企业和机构提供一站式域名安全保障。
1.账户精细化管理,等保三级认证安全可靠
国科云业务系统已通过公安部等保三级认证,在账户权限、数据安全、操作审计等方面均满足国家合规要求,同时支持分级分权、多因素认证等精细化管理机制,有效防范权限盗用、越权操作、数据泄露等风险。
2.全天候域名监测,实时探测解析状态
国科云提供7×24小时域名安全监测,通过全球分布节点模拟真实用户行为,对解析记录、域名状态、操作行为等进行全维度探测,一旦发现解析异常、记录篡改、域名劫持等风险,立即告警,确保风险第一时间发现。
3.DNSSEC全链路保障,确保解析准确可信
国科云自研的智能云解析DNS支持DNSSEC安全协议,通过对解析记录进行数据签名校验,保障解析全链路数据不泄露、不篡改,有效防范DNS缓存投毒、中间人解析篡改、恶意DNS劫持等攻击,保障域名解析全程结果真实可信。
4.域名安全锁定,严防恶意操作
国科云提供域名安全锁定服务,通过技术手段对域名转移、过户、NS变更等高危操作进行加锁保护。所有关键操作都需经过专人反向审查,严格核验操作者身份和权限,杜绝未经授权的恶意篡改和其他疏忽操作。
5.提供国密SSL证书,确保访问真实可信
国科云支持部署国密标准SSL证书,通过国密算法来实现全站的HTTPS加密,避免传输数据泄露和被篡改,同时强化网站身份真实性,进一步保障用户访问安全,有效防劫持和防钓鱼。
6.新通用顶级域代申请代运营,实现自主可控
国科云提供新通用顶级域申请咨询、代理申请和代理运营等一站式全流程服务,协助客户打造具有品牌价值与地域特色的自有顶级域名,实现域名主权自主可控,从根源上规避恶意劫持、强制接管等风险。
7.一对一专属客服+专业技术团队,全天候快速响应
国科云一对一专属客户经理与资深域名安全技术团队,提供7×24小时不间断技术支持,快速响应域名异常、劫持处置、紧急切换等问题,形成监测-告警-处置闭环,保障业务持续稳定。
随着数字经济的深入推进,域名劫持等安全风险也随之加剧。在此背景下,企业和机构必须建立常态化域名安全体系,通过技术加固、权限管控、域名自主化等多种手段,全面抵御劫持风险,筑牢数字化转型发展的根基防线。【点击咨询试用】
推荐阅读:
