一,、背景描述 
最近波蘭CERT一篇名<Large-scale DNS redirection on home routers for financial theft>為的文章引起我們的注意，原文地址：（https://www. cert.pl/news/8019/langswitch_lang/en）,，報(bào)告中寫到：“很多家用路由器存在未授權(quán)的遠(yuǎn)程修改配置漏洞導(dǎo)致了這次事件的發(fā)生,。黑客通過在網(wǎng)上銀行頁面中注入了惡意的javascript代碼欺騙用戶輸入賬號(hào)密碼和交易確認(rèn)碼，最終竊取了用戶銀行里面的錢,?！?nbsp;
前兩天微信公眾號(hào)網(wǎng)站安全中心（wangzhan_anquan ）發(fā)表消息：近日波蘭遭遇大規(guī)模DNS劫持攻擊，黑客通過修改家用路由器DNS配置從而劫持用戶請(qǐng)求,，最終竊取了用戶銀行里的錢,！類似DNS劫持手法應(yīng)該會(huì)很快便延伸到國(guó)內(nèi)，危及網(wǎng)民安全,。 
很多朋友收到此消息后給我們留言拋出這樣的疑問： 

更多朋友所不知道的是,，HTTPS加密請(qǐng)求也能嗅探到？ 
什么是HTTPS： 
HTTPS是以安全為目標(biāo)的HTTP通道,，簡(jiǎn)單講是HTTP的安全版,。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL,，因此加密的詳細(xì)內(nèi)容就需要SSL,。句法類同http:體系，用于安全的HTTP數(shù)據(jù)傳輸,。https:URL表明它使用了HTTPS,。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗(yàn)證與加密通訊方法,，現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊,，例如交易支付方面。 
之所以大家都認(rèn)為不能嗅探HTTPS請(qǐng)求的原因是來自對(duì)加密SSL層的信任,，那么黑客是怎么做到的嗅探HTTPS,？ 
簡(jiǎn)單的說黑客為了繞過HTTPS，采用了SSL層剝離的技術(shù),，黑客阻止用戶和使用HTTPS請(qǐng)求的網(wǎng)站之間建立SSL連接,，使用戶和代理服務(wù)器（攻擊者所控服務(wù)器）之間使用了未加密的HTTP通信。 
二,、攻擊細(xì)節(jié) 
黑客（攻擊者）使用了一款工具來實(shí)施攻擊-SSLStrip,，他能夠阻止用戶和使用HTTPS請(qǐng)求的網(wǎng)站之間建立SSL層連接,，進(jìn)行中間人劫持(類似于 ARP欺騙_百度百科 ）。 

上面就是我使用sslstrip進(jìn)行嗅探內(nèi)網(wǎng)某設(shè)備的截圖,，當(dāng)然這只是一張圖：） 

SSLStrip的工作原理：

攻擊的流程原理可用下圖表示： 

有關(guān)波蘭遭遇大規(guī)模DNS劫持用戶網(wǎng)上銀行的事件中,，因?yàn)槭褂肧SLStrip會(huì)提醒用戶連接沒有使用SSL加密，黑客為了迷惑用戶,，重寫了URL,，在域名前加了“ssl-.”的前綴，當(dāng)然這個(gè)域名是不存在的,，只能在黑客的惡意DNS才能解析,。 

<img data-cke-saved-src="http://www./uploadfile/Collfiles/20140220/201402202315069.jpg" src="http://www./uploadfile/Collfiles/20140220/201402202315069.jpg" data-ke-="" alt="矕)蜪╧y" http:="" www."="" target="_blank" class="keylink">漏洞，導(dǎo)致的大批量DNS劫持,，有關(guān)ZynOS漏洞利用攻擊代碼已經(jīng)在Github上有人放出來了,，整個(gè)流程如下： 

波蘭這次事件主要是黑客利用路由漏洞進(jìn)行了大范圍DNS劫持然后使用sslstrip方法進(jìn)行嗅探 ，這次方法要比之前單純的DNS劫持有趣的多,，當(dāng)然危害也大的多,。 

解決方案 

這種攻擊方式馬上會(huì)在國(guó)內(nèi)展開攻擊，這種攻擊往往不是基于服務(wù)端,，特別是SSL Stripping技術(shù),，其攻擊手法不是針對(duì)相應(yīng)固件也不是利用固件漏洞，所以大家有必要好好看一下解決方案,，真正的把DNS防御杜絕在門外,！ 

檢查DNS是否正常 

拿TP-Link舉例，瀏覽器訪問192.168.1.1（一般是這個(gè),，除非你改了）,，輸入賬號(hào)密碼登陸（默認(rèn)賬號(hào)密碼在說明書上都有）-> 網(wǎng)絡(luò)參數(shù)-> WAN口設(shè)置-> 高級(jí)設(shè)置-> 看看里面DNS的IP是否勾選了“手動(dòng)設(shè)置DNS服務(wù)器”。 

 * 如果你沒有人工設(shè)置過,，但勾選了,，那就要警惕是否被黑客篡改了。 

* 如果沒勾選,，一般情況下沒有問題,。 

* 檢查DNS IP是否正常：在百度上搜索下里面的DNS IP看看是不是國(guó)內(nèi)的，如果是國(guó)外的則需要警惕了,！除非是Google的8.8.8.8這個(gè),，看看百度的搜索結(jié)果有沒有誰討論過這個(gè)DNS IP的可疑情況,，有些正常DNS IP也會(huì)有人討論質(zhì)疑,，這個(gè)需要大家自行判斷一下，實(shí)在沒把握就設(shè)置DNS IP如下： 

主DNS服務(wù)器：114.114.114.114,，備用DNS服務(wù)器為：8.8.8.8

關(guān)于其他品牌如何修改查看或者修改DNS的話,，和上面步驟也差不多,，實(shí)在找不到的話就百度一下，多方便,。 

如果發(fā)現(xiàn)被攻擊的痕跡,，重置路由器是個(gè)好辦法，當(dāng)然下面的步驟是必須的： 

修改路由器Web登陸密碼 

路由器一般都會(huì)有Web管理頁面的,，這個(gè)管理界面的登陸密碼記得一定要修改,！一般情況下默認(rèn)賬號(hào)密碼都是admin，把賬號(hào)密碼最好都修改的復(fù)雜點(diǎn)兒吧,！