如果你可利用Android木马程序来感染本地WiFi接入点,并可利用DNS劫持攻击每台连接到该网络的设备,那何必浪费时间去攻击Android设备?
卡巴斯基研究人员报告称他们发现一种新型Android恶意软件,他们称之为“Trojan.AndroidOS.Switcher”,它做的正是上述的事情:当它启动并确定自己是在目标无线网络中后,该恶意软件会暴力破解本地WiFi路由器密码。如果成功的话,该恶意软件会重置默认域名系统(DNS) 服务器 为自己的服务器。这样的话,它就可对连接到该网络的其他设备或系统执行几乎任何类型的攻击。
卡巴斯基移动恶意软件分析师Nikita Buchka在博客中写道:“这种攻击并不是攻击用户,而是攻击用户连接的WiFi,更准确地说,无线路由器。”这种新的Android木马程序通过在路由器管理Web界面暴力破解密码来获得访问权限。“如果攻击成功,该恶意软件会更改路由器设置中DNS服务器的地址,因此它可将受感染WiFi网络中设备的所有DNS查询请求路由到攻击者的服务器,这种攻击也被称为DNS劫持攻击。”
由于设备通常重置其默认DNS服务器配置以反映本地WiFi路由器中默认值,这种新型Android木马程序可迫使通过路由器连接的设备指向受攻击者控制的流氓DNS服务器。其结果是,当攻击者可访问路由器DNS设置时,几乎可控制该路由器服务的网络中所有的流量。
Buchka称,如果这个Switcher恶意软件成功安装路由器中,它可让用户面临“广泛的攻击”威胁,例如网络钓鱼攻击。“攻击者篡改路由器设置的主要危害是,即使路由器重启新设置仍将存在,并且DNS劫持很难被发现,”他表示,“即使流氓DNS服务器被禁用一段时间,则将使用辅助DNS(设置为8.8.8.8),用户和/或IT也不会收到警告。”
通过设置辅助DNS服务器为谷歌的DNS服务–IP地址为8.8.8.8,攻击者可确保即使自己的恶意DNS服务器不可用,用户也不会遭遇任何中断。
当Switcher进入用户的Android设备后,它会检查本地无线网络的基本服务集标识符(本地网络接入点的MAC地址),并将其报告给该木马程序的命令控制网络,再进行暴力破解以及重新配置路由器。该恶意软件还会尝试识别正在使用哪个互联网服务提供商,以便它可重新配置路由器为使用流氓DNS服务器,然后可对路由器系统管理的Web界面进行暴力攻击。
卡巴斯基报告了两种版本的Android木马程序:其中一个版本伪装成中文搜索引擎百度移动客户端,另一个伪装成流行中文应用(用于共享WiFi访问信息)。根据卡巴斯基对该恶意软件中硬编码的输入字段名称的分析,以及对该Android木马程序试图访问的html文件结构的分析,卡巴斯基判断该Switcher只会感染TP-LINK WiFi路由器。
Switcher攻击者将其命令控制系统搭载在用于推广其假WiFi接入应用的网站;根据卡巴斯基表示,该网站还包含Switcher感染计数器。卡巴斯基报告称1280个WiFi网络已经成功被渗透。卡巴斯基建议用户检查其DNS配置是否已经配置为任何流氓DNS服务器(101.200.147.153、 112.33.13.11和120.76.249.59)。如果网络已经被感染,则可重置DNS服务器配置以及默认路由器管理密码来缓解攻击;我们还可通过更改系统管理默认用户ID和密码来防止攻击。
拒绝服务攻击是如何展开的
前面讨论的目的都是由拒绝服务攻击直接达到的,事实上,拒绝服务攻击还可以作为特权提升攻击、获得非法访问的一种辅助手段。 这时候,拒绝服务攻击服从于其他攻击的目的。 通常,攻击者不能单纯通过拒绝服务攻击获得对某些系统、信息的非法访问,但其可作为间接手段。 SYN风暴攻击可以用于IP劫持、IP欺骗等。 当攻击者想要向B冒充C时,其通常需要C不能响应B的消息,为此,攻击者可以先攻击C(如果它是在线的)使其无法对B的消息进行响应。 然后攻击者就可以通过窃听发向C的数据包,或者通过猜测发向C的数据包中的序列号等,然后冒充C与第三方通信。 一些系统在启动时会有漏洞,可以通过拒绝服务攻击使之重启,然后在该系统重启时针对漏洞进行攻击。 如RARP-boot,如果能令其重启,就可以将其攻破。 只需知道RARP-boot在引导时监听的端口号(通常为69),通过向其发送伪造的数据包几乎可以完全控制其引导(Boot)过程。 有些网络配置成当防火墙关闭时所有数据包都能通过(特别是对于那些提供服务比安全更加重要的场合,如普通的ISP),则可通过对防火墙的拒绝服务攻击使其失去作用达到非法访问受防火墙保护的网络的目的。 对WINDOWS系统的大多数配置变动在生效前都需要重新启动系统。 这么一来,如果攻击者已经获得了对系统的管理性特权的变动之后,可能需要采取拒绝服务攻击的手段使系统重启或者迫使系统的真正管理员重启系统,以便其改动的配置生效。 对DNS的拒绝服务攻击可以达到地址冒充的目的。 DNS服务器起到的是把域名解析为IP地址的作用。 攻击者可以通过把DNS致瘫,然后冒充DNS的域名解析,把错误的域名-IP地址的对应关系提供给用户,以便把用户(受害者)的数据包指向错误的网站(如攻击者的网站),或者把受害者的邮件指向错误的(如攻击者的)邮件服务器,这样,攻击者就达到了冒充其他域名的目的。 攻击者的最终目的大致有两种:一是窃取受害者的信息,但客观上导致用户不能应用相应的服务,也构成拒绝服务攻击;二是拒绝服务攻击,如蓄意使用户不能访问需要的网站,不能发送邮件到需要的服务器等。 编辑本段防止拒绝服务的攻击 许多现代的UNIX允许管理员设置一些限制,如限制可以使用的最大内存、CPU时间以及可以生成的最大文件等。 如果当前正在开发―个新的程序,而又不想偶然地使系统变得非常缓慢,或者使其它分享这台主机的用户无法使用,这些限制是很有用的。 Korn Shell的ulimit命令和Shell的Iimit命令可以列出当前程的资源限制。
网页搜索出现问题
打不开网页的原因及处理办法:1.与设置代理服务器有关 。 有时出于某些方面考虑,在浏览器里设置了代理服务器(控制面板--Internet选项—连接—局域网设置—为LAN使用代理服务器),设置代理服务器是不影响QQ联网的,因为QQ用的是4000端口,而访问互联网使用的是80或8080端口。 这就是很多人不明白为什么QQ能上,而网页不能打开的原因。 而代理服务器一般不是很稳定,有时候能上,有时候不能上。 如果有这样设置的,把代理取消即可。 2.病毒感染。 表现在打开IE时,在IE界面的左下框里提示:正在打开网页,但半天没响应。 在任务管理器里查看进程,把鼠标放在任务栏上,按右键—任务管理器—进程,看看CPU的占用率如何,如果是100%,可以肯定,是感染了病毒,查查是哪个进程占用了CPU资源,找到后,然后点击结束,如果不能结束,则要启动到安全模式下把该东东删除,还要进入注册表里:开始—运行,输入regedit,在注册表对话框里,点编辑—查找,输入那个程序名,找到后,点鼠标右键删除,然后再进行几次搜索,就能彻底删除干净。 服务器解释出错 。 DNS即域名服务器(Domain Name Server),它把域名转换成计算机能够识别的IP地址,若DNS服务器出错,则无法进行域名解释,自然就不能上网。 这种情况有时候是网络服务接入商即ISP的问题,可打电话咨询ISP;有时候则是路由器或网卡的问题,无法与ISP的DNS服务连接。 此时可把路由器关一会再开,或者重新设置路由器。 或者是网卡无法自动搜寻到DNS的服务器地址,可以尝试用指定的DNS服务器地址。 在网络的属性里进行:控制面板—网络和拔号连接—本地连接—右键属性—TCP/IP协议—属性—使用下面的DNS服务器地址。 不同的ISP有不同的DNS地址。 4.系统文件丢失导致IE不能正常启动 。 原因有:系统的不稳定 表现为死机频繁、经常莫名重启、非法关机造成系统文件丢失;软硬件的冲突 常表现为安装了某些程序引起网卡驱动的冲突或与IE的冲突;病毒的侵扰 导致系统文件损坏或丢失。 如果是第一种情况,可尝试修复系统,放入原安装光盘,一定要原安装光盘,在开始—运行里输入sfc /scanow,按回车。 如果是第二种情况,可以把最近安装的硬件或程序卸载,2K或XP的系统可以在机器启动后,长按F8,进入启动菜单,选择“最后一次正确的配置”,若是XP系统,还可以利用系统的还原功能,一般能很快解决问题。 如果是XP的系统因超线程CPU的原因,可以在BIOS里禁用超线程,或升级到SP2。 如果是第三种情况,则要对系统盘进行全面的查杀病毒。 损坏。 以上方法若果都不奏效,有可能是IE的内核损坏,应重装IE或换个浏览器,如遨游浏览器就很不错,打开速度快。
什么是DNS服务器,劫持域名的目的是什么,被劫持后有什么后果
晕。 劫持了你的域名跟日常生活上网有啥关系呢。 。 。 yjynet说的是被劫持了IE的情况吧。 。 。 劫持域名是这意思: 就是说你上网输入但进入的却不是网络。 因为这个域名被劫持了。 DNS就是域名解析的。 如你输入,你的电脑就连到DNS服务器。 DNS就帮你搜到的IP地址220.181.18.155,再返回给你的电脑。 你的电脑就可以连到网络了。 如果你的DNS设置出了问题。 可能输入进入的是另一个网站——这种情况在host文件被修改时也会出现。
发表评论