概要: WEBトラフィックハイジャック

1. 背景

WEB認証やログインなどの技術を整理する際にはセキュリティが関わってきますが、認証ログインが安全でないとトラフィックが乗っ取られる可能性が高くなります。

この記事は主に、ハッカーがどのようにハイジャックしたかを理解することを目的としています。

2. WEB トラフィックハイジャックはどのように行われるのですか?

Web トラフィック ハイジャックとは、ハッカーが被害者の Web ページ リクエストを攻撃者が制御する悪意のある Web サイトにリダイレクトすることを指します。このようにして、攻撃者は被害者のアカウント番号やパスワードなどの機密情報を簡単に入手でき、さらにはコンピュータを遠隔操作することができ、重大なセキュリティ上の問題を引き起こす可能性があります。

Web トラフィックのハイジャックは通常、次の技術的手段を通じて行われます。

1. DNS ハイジャック:ハッカーは、 DNS サーバーのレコードを改ざんすることで、被害者が要求した URL ドメイン名を攻撃者が制御する悪意のある IP アドレスに解決し、それによって WEB トラフィックをハイジャックします。

2. ARP スプーフィング (ルータまたはスイッチのスプーフィング): ARP ハイジャックとも呼ばれ、ハッカーは偽造した ARP プロトコル パケットを送信して、攻撃者のコンピュータの MAC アドレスをターゲット コンピュータの MAC アドレスに偽装します。これにより、被害者のネットワーク トラフィックが攻撃者のネットワーク トラフィックに送信されます。コンピューター。

3. ルーター攻撃: ハッカーは被害者がいるルーターを攻撃し、ルーターの構成情報を改ざんし、被害者のネットワーク トラフィックを攻撃者が制御する悪意のある Web サイトにリダイレクトします。

4. Wi-Fi ハイジャック: ハッカーはワイヤレス ネットワークの安全性の低さを利用して悪意のある Wi-Fi ホットスポットを設定し、被害者がこのホットスポットに接続すると、トラフィックをハイジャックすることができます。

5. 中間者攻撃: ハッカーは、被害者とターゲット Web サイトの間に自分のコンピュータを挿入して、データ送信の内容を改ざんし、トラフィックをハイジャックします。

6. HTTP ハイジャック: ハッカーは HTTP リクエストとレスポンスを改ざんして、被害者を騙して偽の Web サイトや悪意のある Web ページにアクセスさせ、トラフィックをハイジャックします。

7. フィッシング攻撃: ハッカーは、信頼できる Web サイトのログイン ページを模倣して被害者をだましてアカウント パスワードなどの情報を入力させ、その情報をトラフィック ハイジャックなどの悪意のある目的に使用します。

8. iframe ハイジャック: ハッカーは、悪意のある iframe を被害者の Web ページに埋め込み、悪意のある Web サイトへのリダイレクトなど、被害者の Web ページを改ざんします。

9. XSS ハイジャッキング: ハッカーは、クロスサイト スクリプティング攻撃 (XSS) を通じて悪意のあるスクリプトを Web サイトに挿入し、Web サイトのコンテンツを改ざんし、リダイレクトします。

10. CDN ハイジャック: ハッカーは、一部の CDN (コンテンツ配信ネットワーク) サービスのセキュリティの抜け穴を利用し、CDN の DNS レコードを改ざんし、被害者が要求したコンテンツを悪意のある Web サイトに転送することで、WEB トラフィックをハイジャックします。

11. ソフトウェア ハイジャック: ハッカーは被害者のコンピュータを攻撃し、ブラウザ、プラグイン、証明書などのソフトウェア構成を改ざんし、要求された URL をハッカーが制御する悪意のある Web サイトにリダイレクトして WEB トラフィックをハイジャックします。

12. SSL ハイジャック: ハッカーはコンピュータ間の仲介者の立場を利用して、安全な通信プロトコル SSL/TLS に対して攻撃を実行し、暗号化されたデータと鍵情報を取得し、WEB トラフィックをハイジャックします。

WEB トラフィックの乗っ取りを避けるため、信頼できる DNS サーバーを使用すること、ルーターの設定情報を定期的に確認すること、ファイアウォールを設定してネットワーク トラフィックを制限することをお勧めします。同時に、オペレーティング システムやアプリケーション プログラムのセキュリティ パッチを適時に更新し、信頼できるウイルス対策ソフトウェアを使用して、悪意のあるソフトウェアの侵入を防ぎます。

3.DNSハイジャック

DNSハイジャックの概要

DNS ハイジャック (ドメイン名ハイジャックとも呼ばれる) は、インターネット攻撃の手法の 1 つであり、ドメイン名解決サーバー (DNS) を攻撃したり、ドメイン名解決サーバー (DNS) を偽造したりすることで、ターゲット Web サイトのドメイン名を間違ったものに解決します。ユーザーがアクセスできないようにIPアドレスを設定する 対象Webサイトの目的、または意図的または悪意を持ってユーザーに特定のIPアドレス（Webサイト）へのアクセスを要求する場合。

DNSハイジャック攻撃手法

攻撃者は抜け穴を使って DNS サーバーを攻撃し、攻撃が成功すると、DNS サーバーの解決レコードを変更し、一部のドメイン名http://www.xxxxx.comの解決を次の Web サイトの IP アドレスに変更します。プライベートサーバーやギャンブルなどの利益を得る産業、 Webトラフィックハイジャックの目的を達成するため。

DNSハイジャックの判定方法

1 つ目の方法: ブラウザのアドレス バーにドメイン名を入力すると、見慣れないページが表示されます。アドレス バーのアドレスを観察します。アドレス バーのドメイン名が変わらない場合は、現在使用している DNS サーバーが原因です。乗っ取られました。

2 番目の方法: ターゲットのドメイン名に ping を実行し、エコーされた IP が見慣れない IP アドレスまたはドメイン名であるかどうかを観察し、見慣れない IP アドレスまたはドメイン名である場合は、現在使用している DNS サーバーがハイジャックされています。

3番目の方法: dig コマンドの判定、使用方法: dig ドメイン名。現在のドメイン名によって解決された IP が見慣れない IP アドレスであるかどうかを確認します。見慣れない IP アドレスである場合は、現在使用している DNS サーバーがハイジャックされています。

4.HTTPハイジャック

1 はじめに

ハッカーは HTTP ハイジャックを通じて HTTP リクエストとレスポンスを改ざんし、被害者をだまして偽の Web サイトや悪意のある Web ページにアクセスさせることができます。その具体的な実装は次のステップに分けることができます。

1. ハッカーは何らかの手段を使って被害者のIPアドレスと端末を入手します

2. ハッカーは、TCPdump、Wireshark などのツールを使用して、被害者の HTTP リクエストと応答を監視します。

3. ハッカーは、Burp Suite などのプロキシ ツールを使用して HTTP リダイレクトを実行し、被害者のリクエストを悪意のある Web サイトにリダイレクトします。

たとえば、ハッカーは被害者のコンピュータに Fiddler などのプロキシ ソフトウェアをインストールすることで、被害者のコンピュータの HTTP リクエストと応答を監視できると同時に、Fiddler のリダイレクト機能を使用して、被害者のリクエストをハッカーが管理する悪意のある Web サイトに送信します。このようにして、被害者の HTTP リクエストは、ハッカーによって作成された悪意のある応答を受信します。

ハッカーは、被害者のブラウザを騙して悪意のある応答を信頼させることができるように、HTTP ハイジャックを実装するために被害者のコンピュータにルート証明書をインストールし、それを被害者の信頼できるルート証明機関のリストに追加する必要がある場合があることに注意してください。 、それにより、情報を偽装したり盗んだりすることが可能になります。

2. ハッカーはどのようにして被害者のコンピュータにプロキシ ソフトウェアをインストールしましたか?

ハッカーは、既知の脆弱性の悪用、ソーシャル エンジニアリング攻撃、マルウェア、リモート コントロールなど、さまざまな方法を使用して被害者のコンピュータにエージェント ソフトウェアをインストールする可能性があります。考えられる攻撃は次のとおりです。

1. 脆弱性の悪用: ハッカーは既知または未公開の脆弱性を研究し、悪用して攻撃し、コードをリモートで実行してプロキシ ソフトウェアなどのマルウェアをインストールします。

2. ソーシャル エンジニアリング攻撃: ハッカーは、信頼できるメールボックスやソーシャル メディア アカウントを偽装して、悪意のある添付ファイルやリンクを含むメッセージを送信するなどの欺瞞、欺瞞、その他の手段を使用して、被害者のコンピュータのシステム設定やパスワードをさらに改ざんします。これにより、プロキシ ソフトウェアなどのマルウェアがインストールされます。

3. マルウェア: ハッカーは、ウイルス、トロイの木馬、ボットネットなどのマルウェアを使用して、被害者のコンピュータをリモート制御してデータを盗み、さらにプロキシ ソフトウェアなどのマルウェアをインストールしてトラフィック ハイジャック攻撃を実行します。

つまり、ハッカーは、被害者のコンピュータにエージェント ソフトウェアをインストールするという目的を達成するために、さまざまな方法を使用し、さまざまなセキュリティ ホールを悪用したり、被害者の ID 認証を欺いたり、リモート コントロールやその他の攻撃方法を使用したりする可能性があります。したがって、ユーザーは常に警戒し、オペレーティング システムとソフトウェアのセキュリティ パッチを定期的に更新し、未知のソースからプログラムやファイルをダウンロードして実行しないようにし、信頼できるセキュリティ ソフトウェアを使用し、同時に見知らぬ人や個人から送信された電子メールを開かないようにする必要があります。組織が攻撃の標的になることを避けるために。

10. 公表されている古典的なソフトウェアの脆弱性は何ですか? この脆弱性はどのように悪用されるのでしょうか?

ソフトウェアの脆弱性とは、ソフトウェア システムやアプリケーションにおける不正なプログラムの抜け穴や設計上の欠陥を指します。これらの脆弱性を慎重に扱わないと、セキュリティ上の問題が発生する可能性があり、ハッカーが脆弱性を悪用して攻撃を実行する可能性があります。公開されているいくつかの古典的なソフトウェアの脆弱性を以下に示します。

1. Heartbleed 脆弱性 (CVE-2014-0160): この脆弱性は、OpenSSL ライブラリのセキュリティ脆弱性です。ハッカーは、特別に作成した悪意のあるリクエストを送信して、暗号化キー、ユーザー セッション コンテンツなどを含むサーバー上のメモリ情報にアクセスし、サーバー上の機密情報を盗む可能性があります。

2. WannaCry 脆弱性 (CVE-2017-0144): この脆弱性は、Microsoft によって Windows オペレーティング システムで発見されたセキュリティ脆弱性です。ハッカーはこの脆弱性を悪用してネットワークを悪用し、機密データを盗んだり脅迫したりして、重大な社会的および経済的損失を引き起こす可能性があります。

3. Shellshock 脆弱性 (CVE-2014-6271): この脆弱性は、Unix/Linux オペレーティング システムのセキュリティ脆弱性です。ハッカーは、コマンド ラインに悪意のあるシェル スクリプトを入力することで、被害者のコンピュータをリモートから制御できます。

上記 3 種類の脆弱性は非常に危険なセキュリティ ホールであり、セキュリティ保護を強化し、ハッカーの攻撃を回避するために、できるだけ早く修復する必要があります。これらの脆弱性による攻撃を効果的に防ぐには、次の対策を参照してください。

1. システムとソフトウェアをタイムリーにアップグレードし、最新のパッチとアップデートをインストールします。

2. 保護を強化するには、信頼できるセキュリティ ソフトウェアを使用してください。

3. 不要なサービスやプロトコルを無効にするか削除して、攻撃対象領域を減らします。

4. ID 認証とアクセス制御を強化し、ファイアウォールや侵入検知などのセキュリティ対策を確立します。

5. セキュリティチェックと脆弱性スキャンを頻繁に実施して、潜在的なセキュリティ問題をできるだけ早く発見して解決します。

WEBトラフィックハイジャック - Zhihu