吳明宜一名研究人員上周宣稱他因為剛果民主共和國的一個重要網域名稱過期,而讓他得以接手掌管了這個國家的頂級網域名 (ccTLD) 。
在聖誕假期前,網頁安全公司創辦人暨研究人員 Fredrik Almroth 分析所有 TLD 使用的名稱伺服器 (name server) 紀錄,這些紀錄詳細列出 DNS 區域的伺服器。
國家頂級域名伺服器未續約過期?
他注意到一個名為 scpt-network.com 的網域未續約繳費,結果過期了。該網域是剛果頂級域名 (TLD) .cd 的名稱伺服器。 Almroth 認為這個網域一旦落入歹徒手中就慘了,於是立刻將他買下來以免被人濫用。
剩下管理.cd TLD 的名稱伺服器則在負責營運 TLD 的南非網路交換中心 (SAIX) 手中。但若被壞人買下了 scpt-network.com 網域名,.cd 網站有一半的 DNS 流量可能被劫持。
由於剛果有近 9,000 萬人,以及許多國際組織都有.cd 網名的網站,Almroth 說此事非同小可。他指出,攻擊者可能將 DNS 流量從合法網站導向釣魚或其他惡意網站,或是被動攔截 DNS 流量以監聽通訊或竊取資料,或者,他們也能用它來進行「快速變動網域」(fast flux,即變動網域及對應的實體機器)以達到隱藏惡意網站的目的。
駭客也可能濫用這條通道在該國網路內進行遠端程式碼執行 (remote code execution),控制知名或重要單位的網域,對特定目標發動 DDoS 攻擊,或是將毁壞該 TLD 。
Almroth 試圖將 scpt-network.com 網域歸還給主人,並且於一月初通知 TLD 管理單位 SAIX 。後者並未再要回 scpt-network.com,而是將網域名稱伺服器改成 scpt-network.net 。
Almroth 指出,ccTLD 若發生 DNS 劫持,將會有各種想像得到的災難,特別是劫持的人懷有惡意企圖時。這後果不只影響單一網站、子網域,或單一 apex 網域而已。所有.cd 網站,包括國際公司、金融機構或任何有.cd 網站的機構,都會成為網路釣魚、中間人攻擊 (MITM) 或 DDoS 的受害者。
來源:SecurityWeek