Question

网站伪装攻击也是 Web 网站的常见威胁之一。网站伪装是指攻击者将准备好的攻击网站通过一定手段伪装成正规网站，诱骗用户访问。通过网站伪装攻击，可以达到篡改正规网站内容，或者盗取用户信息的目的。本节将先对网站伪装的常见方法进行说明，然后再讲述如何防范网站伪装攻击。

网站伪装主要有两种方法，一种是网络级别的伪装，一种是只复制网站外观的钓鱼方式。

7.2.1　网络伪装的手段

本节将主要针对网络级别的伪装攻击进行说明，我们将通过以下这些曾经在网络上公开报道的真实事例来介绍。

• 针对 DNS 服务器的攻击
• ARP 欺骗攻击

针对 DNS 服务器的攻击

针对对 DNS 服务器的攻击主要有以下几种类型。

• 通过发动对 DNS 服务器的攻击来替换 DNS 的配置
• DNS 缓存污染攻击
• 购入已过期域名做非法之用

就在本书的编写期间，2010 年 11 月丹麦的著名安全公司 Secunia 的网站（ http://secunia.com/ ）发生了 DNS 内容被改写的事故 6 ，致使用户访问了被攻击者替换后的内容。这次攻击虽然没有带来很大的损失，但是如果攻击者想做的话，可以通过放出虚假的漏洞信息来诱骗用户下载伪装为正规防病毒软件的恶意软件，不难想象这将会带来非常大的损失。

6 http://secunia.com/blog/153/ （参考日期：2010 年 11 月 28）

DNS 缓存污染攻击则是指向用户使用的 DNS 缓存服务器不停的发送查询请求，然后抢在 DNS 缓存服务器的应答到来之前，向客户端发送伪装的应答。这样客户端得到的 Web 服务器的 IP 就是攻击者准备的伪装服务器的 IP 地址了。这之后，用户就开始和伪装网站进行通信了。

关于如何去防范针对 DNS 服务器的攻击，我们将在 7.2.3 节里进行说明。

专栏：VISA 域名问题

“VISA 域名问题”是一个众所周知的失效域名问题的例子。

原本 VISA.CO.JP 的域名是由域名管理商 E-ONTAP.COM 负责解析的，但是后来 E-ONTAP.COM 破产了，所以 E-ONTAP.COM 这个域名也就失效了，变成了任何人都可以申请的状态。但是这时候 VISA.CO.JP 的第二域名服务器还是指向 E-ONTAP.COM 的域名服务器，没有做任何修改。

如果是有人恶意买入了 E-ONTAP.COM 域名的话，就可以利用其对 VISA.CO.JP 域名的解析权去做非法的事情了，还好中京大学的副教授铃木常彦意识到了这个问题后买入了这个域名，最后没有发生事故。

VISA 域名问题虽然说是域名管理企业的域名失效导致的问题，但是现实中也存在自己的域名过期失效后被第三者买入的实例。建议在公司级别上指定针对域名管理的相关规定，比如指定专门的域名管理人员，决定好如何交接等问题。

ARP 欺骗攻击

ARP 欺骗是指通过发送伪造的 ARP（Address Resolution Protocal）应答，以达到伪装成其他 IP 地址的目的。利用 ARP 欺骗进行网站伪装攻击时，当被攻击服务器向网络发送网关 IP 地址的 MAC 请求（ARP 请求）时，攻击者会抢先返回伪造的 ARP 应答，来冒充网关，从而截获所有与服务器的通信内容。ARP 欺骗攻击有一个限制条件，就是要和被攻击服务器在同一物理网段内。

2008 年 6 月某著名网站托管企业的数据中心发生的安全事故，就是由于 ARP 欺骗攻击导致的攻击案例。在此次事故中，托管中的一台服务器由于感染了恶意软件，从而导致了同一网段内发生了 ARP 欺骗攻击。由于被攻击的服务器内容里被加入了 iframe 内容，进而又导致了查看了被攻击网站网页的用户也被感染了恶意软件。

关于防范 ARP 欺骗攻击的对策，我们将在 7.2.3 节里进行说明。

7.2.2　钓鱼攻击

钓鱼（Phishing）是指创建一个和原网站非常像的网站，然后通过邮件等发送链接，诱骗用户访问这个假网站并让用户在假网站上输入用户名、密码或其他个人信息，从而达到收集个人信息的目的。钓鱼比起网络级别的伪装（DNS 攻击或者 ARP 欺骗攻击）来说显得技术含量不是很高，但是经常有用户上当遭受损失。在日本也经常出现一些复制著名二手货交易网站或者 SNS 网站的钓鱼网站。

钓鱼攻击原则上和正规网站没有什么直接关系，但每个网站的用户都有可能被钓鱼网站欺骗。尽管预防钓鱼网站还主要靠用户自己来防范，但是作为网站方面，也应该采取一定的措施来帮助用户预防钓鱼网站。具体的内容我们将会在下一节进行说明。

7.2.3　Web 网站的伪装攻击对策

防范针对 Web 网站的伪装攻击，可以采取下面的措施。

• 网络层的对策
• 使用 SSL/TLS
• 使用便于记忆的域名

下面按顺序对这几项进行说明。

网络层的对策

在 7.2.1 节里我们已经说过，网络层的伪装攻击主要通过 ARP 欺骗攻击和对 DNS 服务器的攻击来进行。虽然完全抵御这些攻击比较困难，但我们还是可以采取如下措施的。

• 同一网段内不放置可能存在漏洞的服务器

  由于 ARP 欺骗攻击局限于在同一网段之内，所以在网段内不放置可能存在安全漏洞的服务器是其对策之一。也就是说，对同一网段的机器，不管其作用及重要程度如何，都应该一视同仁地实行安全漏洞防范措施。

  如果租用的服务器在同一网段内还有其他公司的服务器的话，最好向提供托管服务的公司咨询一下他们预防 ARP 欺骗攻击的情况。

• 强化 DNS 运维

  DNS 是互联网最基本的服务之一，但仍然会经常由于配置错误或者漏洞导致 DNS 问题出现。如何去安全的管理、维护一个 DNS 服务器，可以参考下面我们罗列出来的 DNS 的书籍以及独立行政法人信息处理推进机构（IPA）的内容。另外，也可以考虑将来使用 DNSSEC。

  DNS 缓存污染攻击主要需要用户本身去防范，作为参考，我们一并将 DNS 缓存污染攻击的相关资料也列了出来。7

  • 关于域名注册和 DNS 服务器配置的注意事项

    http://www.ipa.go.jp/security/vuln/20050627_dns.html

  • DNS 缓存污染攻击对策（正文为 PDF 格式）

    http://www.ipa.go.jp/security/vuln/DNS_security.html

  • 关于 DNS 缓存污染攻击漏洞的注意事项

    http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html

  • 注意关于 DNS 服务器的漏洞的再次提醒

    http://www.ipa.go.jp/security/vuln/documents/2008/200812_DNS.html

7 中文的相关参考资料有：
维基百科上关于“域名服务器缓存污染”的介绍： http://en.wikipedia.org/wiki/DNS_spoofing
DNS 缓存投毒攻击原理与防御策略： http://www.chinacommunications.cn/fileup/PDF/2009-6-4-003.pdf
DNS 相关的攻击介绍： http://www.freebuf.com/articles/network/17150.html ——译者注

引入 SSL/TLS

SSL（Secure Sockets Layer）和 TLS（Transport Layer Security）也是防范 Web 网站伪装攻击的有效对策。在下面的说明中我们把这两个词统称为 SSL。提起 SSL 大家的第一印象一般是用来进行加密通信的，但是它还有另一个重要的功能，就是通过第三方机构（Certification Authority，认证中心）来验证域名的合法性。如果 Web 网站的管理员和用户都能熟练的使用 SSL 的话，那么就可以通过 SSL 来达到防范网站伪装攻击的目的。

作为网站的管理人员，正确使用 SSL 功能的第一步就购买合法的数字证书。购买了合法证书的网站域名会由认证中心来公证其合法性。即使 Web 网站被伪装攻击了，那么用户也可以通过浏览器的警示意识到访问了假冒网站。图 7-5 显示的是 Internet Explorer 9 的数字证书错误的页面。这也可以通过在本书的模拟环境提供的虚拟机中启动浏览器访问 https://example.jp/ 来确认。

图 7-5　访问证书有问题时网站的警告

电子证书可以有效地对网站伪装攻击进行防范，但如果只是以抵抗钓鱼攻击为目的，则可以根据电子证书的种类不同采取不同的使用方式。现在能购买到的证书种类有以下几种，下面是按价格从低到高的顺序排列。

• 域名认证证书
• 组织认证证书
• EV-SSL 证书

域名认证证书的组织名一栏里会显示域名本身，不会对组织名做认证。组织认证证书则会在组织栏里显示企业、团体名称，以及个人姓名等。EV-SSL 证书则会根据 CA/Browser Forum 制定的标准 8 对企业的真实性进行验证。

8 http://www.cabforum.org/documents.html

使用 EV-SSL 会很容易分辨出伪装的网站。图 7-6 显示的是通过 HTTPS 协议访问 verisign 公司网站时的页面。这时候浏览器的地址栏会变成绿色，并且右侧多了一个带锁头图标的显示区域。锁头图标右侧就是以英语显示的企业名称等信息。

图 7-6　EV-SSL 会验证企业信息的真实性

在使用 EV-SSL 以外的证书的时候，需要自己确认所访问网站的域名是否正确。比较有名的网站由于其域名是众所周知的，所以也有不使用 EV-SSL 证书的，也许是他们认为普通的域名认证证书就已经足够了。根据证书的种类不同，购买时所需要的费用也不同，所以要根据自己网站的性质以及域名的认知程度，来综合考虑购买哪种证书。

专栏：免费的数字证书

服务器端数字证书里面域名认证证书相对来说价格较低，购入门槛也不高，同时也可以利用免费的域名认证证书。以色列的公司 StartCom 9 就是一个能免费提供域名认证证书的公司。StartCom 提供的证书，可以正常在 IE、Firefox、Google Chrome、Safari、Opera 等最新版的浏览器上使用，即使是 IE6，如果升级了也是可以使用的。

由于这种免费的域名认证证书能正常用于域名认证以及加密通信，所以那些因成本原因不能采用正式 SSL 或者使用自己建立的认证中心（即自己署名的证书）的公司，可以考虑使用这种免费的电子证书。

9 http://www.startcom.org/

使用便于记忆的域名

针对钓鱼攻击，采用容易记忆的域名是很有效果的。所以，可以考虑使用下面列出的属性型域名。

表 7-1　属性型域名

运营服务组织	域名种类
企业运营服务	.CO.JP
政府机构服务	.GO.JP
地方团体服务	.LG.JP
教育机构服务	.AC.JP 或者.ED.JP

申请这些属性型域名的时候，域名管理机构会对申请者是否满足申请条件进行审查，此外，还有 1 个团体只能申请 1 个域名的限制。所以可以认为这样的域名是不太容易用来作为恶意网站域名的。

因此，更建议 Web 服务运营方选择上面所说的属性型域名，而不是像 .COM 这样的通用型域名。