伯乐共勉

讨论。NET专区
  博客园  :: 首页  :: 新随笔  :: 联系 :: 订阅 订阅  :: 管理

什么是 Pharming 如何避免 Pharming 威胁

Posted on 2007-12-06 11:49  伯乐共勉  阅读(626)  评论(0编辑  收藏  举报

作者:卡夫卡/CNET中国·PChome.net 2007-11-08 17:50:29

  Phishing 和 Pharming

  日常网络生活中,网络钓鱼(Phishing,与钓鱼的英语fishing发音相近,又名钓鱼法或钓鱼式攻击)算是一种常见的网络攻击或诈骗手 法。网络诈骗分子通常是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件,意图引诱收信人给出敏感信息(如用户名、口令、账号ID 、银行卡或信用卡详细信息等)。最典型的网络钓鱼攻击将收信人引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入 的个人敏感信息,通常这个攻击过程不会让受害者警觉,它是“社会工程攻击”的一种形式。此外,采用网页或邮件中的虚假链接(链接文字指向一个正常网站地 址,实际链接指向一个钓鱼网站),或者通过利用搜索引擎引诱用户进入钓鱼网站也是一种常见的手段。

  这些phishing 网站通常会逼真地模彷合法的网站,部份网站甚至还有安全认证,让使用者不易分辨出它的真假。它们还常会采用与正常网站近似的域名,比如用“1”代替 “l",这样用户不加注意很容易被欺骗。通常这种 phishing 网站会向使用者要求一些之前就已提供给银行做为身份认证用的资料,让使用者填写个人机密资料,像是银行帐号、身份证号、出生年月日或帐户密码等。当受害者 在这个伪装的网站中以平常的方式输入账号、口令等进行登录时,会弹出一个对话框说口令不对。受害者以为敲错键了,重新做一遍,这时可能他回到了真正的网 站,但是黑客已经获得了他想要的机密信息。黑客取得这些机密资料后,就可进行后续的转帐或其他恶意行为,给使用都造成极大的损失。

  随着网络钓鱼攻击的增加,媒体宣传的增多,网络钓鱼对于广大网民来说并不是一个陌生的名词,人们对网络钓鱼攻击的防范意识也大大加强。但是网络 骗术并不仅止于此,一种新的更高级的诈骗手段--网址嫁接 (Pharming)在phishing的基础上衍生发展开来,并且逐渐流行起来。

  什么是Pharming

  事实上,Pharming最早约莫出现在2004年,它借由入侵DNS(Domain Name Server)的方式,将使用者导引到伪造的网站上,因此又称为DNS下毒(DNS Poisoning)。DNS的功能是将网站的域名(如:www.google.com 格式)转换实际的IP址(如:125.13.213.1 格式),当用户在浏览器中请求访问一个网站时,他会在其中输入一个域名,这个域名请求首先会到达最近的一个DNS,将其解析为对应的IP地址,然后用户才 能得以连接上这个网站。所以一旦DNS被入侵,网站域名与IP地址的对照表遭到修改,这样当用户在希望访问一个正常网站时,就会在毫无知觉的情况下被引诱 到钓鱼网站或者一个含有恶意代码的网站,而剩下来的过程就和你上当进入一个钓鱼网站后发生的状况并无差别了。

  看起来,Phishing 和 Pharming都是利用一个仿冒的恶意网站来骗取用户信息的,那么,Phishing 和 Pharming究竟有些什么区别呢?事实上,就目的上来讲,这两者几乎是相同的,黑客也可能同时采用Phishing 和 Pharming的手段将用户引导入同一个恶意网站。它们的不同之处,在于其实现手段的不同,Pharming 比 Phishing更复杂也更具技术含量,而且也更为阴险有效。如果说网络钓鱼还是利用了用户的安全防范意识的不足,利用其粗心而得逞,怎么也算是用户主动 去访问了恶意网站,那么,在Pharming的状况下,即使用户的操作没有任何错误,他输入了正确的网址,但他还是会受害而进入一个恶意网站,而且,这还 会让他更难感觉出网站是伪造的。

  从技术面来看,Pharming混合了DNS下毒、木马 (Trojan) 及键盘动作记录器 (key-logging spyware) 等数种手法,将合法网址转接到黑客伪造的网站,让使用者防不胜防。这听起来似乎比较复杂,但实际上针对DNS的Pharming攻击并不少见。根据 Mazerov研究咨询公司的调查显示,大多数企业内部和外部的DNS服务器也相当脆弱,经常遭受各种各样严重的攻击,在所有攻击形式当中, Pharming网络欺骗占23%。
如何判断是否遭到Pharming欺骗

  既然Pharming 看来如此防不胜防,那么如何判断是否遭到Pharming欺骗呢?在此提供检查是否被暗中导引到Pharming伪装网站的5个要点,让大家在浏览网站时更为安心。事实上,这些要点对于判断是否钓鱼网站也同样有效。

  Pharming伪装网站的5大征兆

  征兆一:感觉网站有点不正常

  注意观察登入程序、使用者身份认证程序,或是显示出来的讯息,是否和以往不同?

  征兆二:要求使用者提供过多的个人讯息

  Pharming 网站通常都会要求使用者提供额外的身份辨识或是个人私密资料,这些资料大部份之前就已提供给银行做为对照之用。

  征兆三:在浏览器上看不到 SSL 加密锁的标识

  合法的网站,在要求使用者提供机密资料时,通常都会对该程序进行 SSL资料加密的动作。请使用者注意浏览器下方是否出现「加密锁」的图示,并可在该图示上双按滑鼠左键,检查该项SSL证明是否真实无误。

  征兆四:网址列未出现表示安全网络连线的https字样

  当使用者进入安全的网络连线时,网址列应该是以https//开头(多个s字母),而非原本的http://。而Pharming 网站一般都不具备 SSL 安全网络连线的能力,也就是说,既使在要求使用者提供机密资料的网页上,其网址起始字串仍然是普通的 http://。

  征兆五:浏览器会出现SSL 认证有问题的警示视窗

  如果黑客对具有 SSL 认证功能的网站进行诈骗时,使用者的浏览器会显示安全认识有问题的警示讯息。建议使用者最好不要忽略这些警告,把握此机会检查认证,注意其是否为恶意的诈骗网站。

  除了以上几点外,用户需要注意及时升级浏览器、反病毒软件、反间谍软件程序、以及其他安全相关的软件,现在很多安全软件都已具有网络钓鱼过滤功能,可以在你浏览网站时检测该网站是否为仿冒网站。
如何预防DNS被入侵投毒

  对于DNS服务提供者来说,要保护好DNS的安全,防止DNS被入侵投毒。不管您使用哪种DNS,都应该注意以下几点:

  1. 在不同的网络上运行分离的域名服务器来取得冗余性。

  2. 将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内 部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。

  3. 可能时,限制动态DNS更新。

  4. 将区域传送限制在授权设备上。

  5. 利用事务签名对区域传送和区域更新进行数字签名。

  6. 隐藏服务器上的BIND版本。

  7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。

  8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。

  9. 为了防止域名服务器中毒,要及时更新域名服务器版本。
如何保护好自己的域名

  对于拥有自己域名的网站来说,一定要保护好自己的域名,避免Pharming欺骗攻击者利用自己的域名去进行诈骗。一旦自己的域名被利用,要迅速与域名注册商沟通解决问题。你需要注意以下几点”:

  1. 要求您的注册商拿出书面的、可执行的政策声明。将如果需要转移域名的话,要求他们及时与您联系的条款写在书面文件中。

  2. 锁定域名,要求注册商在得到解锁的口令或其他身份信息后才允许转移。

  3. 使您保存在注册商那里的正式联系信息保持最新状态。

  4. 选择提供24×7服务的注册商,这样他们可以在发生违规事件时迅速采取行动。

  5. 如果发生未经授权的转移,立即与有关注册商联系。

  6. 如果您的问题没有得到解决,去找您的域名注册机构。

  7. 如果您在拿回自己的域名时仍遇到问题,与ICANN联系(transfers@ICANN.org)。

  8. 如果拥有一个大型域,那就像Google那样,成为自己的注册商或者自己的转销商,利用TuCows.com的开放API, OpenSRS,来控制您的所有域名。

  Pharming 这种混合多种病毒的网络攻击方式已愈来愈多,让网络安全厂商对这些电子犯罪的技术疲于奔命。企业或是网络服务供应商都需要不断提醒使用者有关 Pharming 的相关警讯。在教育使用者反击之道的同时,使用者也应具备防毒、入侵侦侧、防火墙及其他网络安全防护的能力,对网络传输内容进行完整的过滤,建构完善的网 络安全防护机制。