【突发】国内大量家用路由器网络访问异常和流量劫持事件分析

最新推荐文章于 2024-09-12 10:54:39 发布
最新推荐文章于 2024-09-12 10:54:39 发布
阅读量1.3k 收藏 20
点赞数 19
文章标签: 网络 智能路由器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C20220511/article/details/141019242
版权

以下内容由WebRAY和Panabit联合发布

图片

0x01 事件背景

从2024年5月开始,国内部分家用路由器开始出现间歇性断网、域名解析延迟高以及解析到海外IP等情况,今年8月该现象变得尤为严重。前几天在做应急响应时候发现某企业暴露在公网上的路由器配置的DNS地址被莫名其妙篡改了,主DNS地址是一个阿里云上的节点,备用DNS地址为1.1.1.1。起初以为这次事件跟近期的攻防演习相关,后面经过深入分析发现该事件并不是个例,我们已排查到有大量暴露在公网上的路由器都存在DNS被篡改的情况,且大部分用户基本没有感知。经过初步统计,攻击者使用的劫持DNS节点数已有百余个,用户访问受影响的目标主要覆盖了阿里云CDN、腾讯云CDN、华为云CDN等,导致了一系列的解析异常。短时间范围内,大量用户投诉对国内重要目标单位访问异常,造成严重安全隐患。

0x02 事件分析

盛邦安全烽火台实验室联合Panabit对该事件进行了专项分析,这起事件是属于典型的DNS劫持攻击事件,符合国外黑灰产组织的攻击特征。攻击者通过搜集公网可访问的路由器地址,利用漏洞或弱口令获取路由器控制权限,修改路由器DNS服务器地址,达到中间人攻击的效果。整体的攻击流程如下图所示:

(图中假设攻击者对webray.com.cn进行了dns劫持)

图片

用户在发起HTTP请求之前首先会进行DNS请求,由于绝大部分个人用户不会自定义DNS服务器,所以默认情况下会使用路由器的DNS服务器来进行域名解析。攻击者通过漏洞把路由器DNS服务器篡改为自己可控的恶意DNS服务器,并添加解析记录webray.com.cn到恶意IP地址。用户拿到webray.com.cn响应的IP地址之后会与攻击者可控恶意IP建立链接,攻击者可控恶意IP通过实现中间人代理功能,把用户的请求转发的真实目标服务器并响应真实服务器结果给用户。

基于DNS劫持的中间人攻击一般可以造成做到用户无感知,但这个事件还是导致了用户访问异常,从而慢慢发酵了出来,引起用户访问异常的原因有以下两点:

经过攻击者可控的服务器进行代理转发之后,会明显降低系统访问速度,造成访问请求延迟增大。

用户访问https协议的网站目标时,会因为中间人可控服务器没有受信任的证书而导致访问失败。

0x03 排查过程

中间人攻击是一种常见的网络攻击方式,一般情况下可以造成下面的两种危害:

造成信息泄漏,通过中间人攻击可以劫持用户流量,通过对流量中的敏感信息进行提取,获取用户认证信息等敏感内容。

造成远程权限获取,通过中间人攻击可以篡改用户流量,一般情况下中间人会把用户请求转发到真实服务器,但是部分情况下可以通过对流量进行篡改达到RCE的效果。其中经典的用法是通过修改软件的升级更新包的响应内容,通过把响应内容替换为木马文件,达到自动运行的效果。

由于事件还在发酵,很难判断攻击者的最终目的是属于流量获取还是远程权限获取。但是不论何种情况,对用户来说都是属于较大的安全隐患。

那么用户应该如何排查自己的DNS服务器是否正常呢?我们把目前的情况做了总结,本次事件中的恶意DNS服务器普遍具有以下特征:

能解析的域名ttl改为了86400秒,即1天

使用unbound-1.16.2作为版本名称

以已知的恶意DNS 60.205.130.150为例,查询DNS服务器中ttl时间,可以通过dig发送任意一个未解析过的域名,此处的daydaymap.com可替换为随机其它域名。

dig @60.205.130.150 daydaymap.com

图片

查询DNS服务器中版本名称,可以通过dig发送version.bind的txt查询请求,并通过chaos的方式进行展示。

图片

如果满足以上两个特征,基本就可以认定是被劫持的DNS服务器。

0x04 用户自查

我们基于以上特征对互联网上的DNS服务器做了全网摸排,情况不容乐观。典型的被劫持IP包括:

47.109.22.118.140.204.3947.108.228.5047.103.220.24739.108.114.149120.77.221.246106.15.3.137120.26.147.194106.15.192.10106.14.245.3047.108.190.13847.106.38.9647.100.115.82122.9.187.125120.79.129.19647.108.55.233123.56.132.204101.37.182.110101.201.60.214

目前这些IP都还存活,且基本都是国内公有云上的IP,更多被劫持的IP我们会在www.daydaymap.com上陆续公开出来,查看方式如下:

访问DayDayMap首页,点击DNS劫持标签:

图片

点击后会检索语法ip.tag="DNS劫持",列出已探测到的被篡改的DNS地址:

图片

用户自查方式:

1、登陆路由器后台,查看现有的DNS配置,如果备用DNS地址已被改为了1.1.1.1,需要尤其引起注意!

2、将主备DNS地址输入www.daydaymap.com进行查询,看是否有“DNS劫持”的标签,如存在该标签,尽快更换路由器并进行终端安全检测。

0x05 参考文献

https://lovelyping.com/?p=294
盛邦安全
关注
无线路由器中如何查看局域网内所有电脑网络流量
10-01
在现代网络环境中,了解和监控局域网内各台电脑的网络流量对于网络管理员来说是一项重要的工作。通过监控可以发现异常流量消耗,从而对网络进行优化和调整,确保网络的稳定运行。本文主要介绍在TP-Link无线路由器...
怎么挑选路由器?家用路由器挑选几点建议
10-01
6. **流量管理**:一些路由器支持基于IP的流量限制,甚至可以根据应用协议来管理网络流量,这对于家庭中有多人共享网络和有限带宽的情况特别有用。 7. **信号增强**:部分路由器有信号增强功能,例如TP-LINK的...
服务器被流量攻击怎么办
CSliudehua的博客
10-21 930
宽带流量清洗是为了减轻DDoS攻击流量所造成的压力,从而提高服务器的稳定性以及宽带的利用率,这对于企业来说是非常有用的一种防护模式,甚至很多长期受到高DDOS攻击的公司都会直接选择带有大流量清洗的服务器,来保证项目上线后能够正常运行,避免因为攻击带来的烦恼。那么这个流量清洗到底是一种什么样的技术呢?今天小蚁君就为大家分析一下。 流量检测防御技术 攻击检测系统在检测到网络流量中掺杂了非法攻击,或者非法访问请求时就会及时通知并且激活防护设备,进行大流量攻击防护和清洗模式。随后攻击缓解系统会通过专门的流量净化线路
mrtg监控交换机路由器流量以及nagios报警
yanggd1987的专栏
11-29 2742
1.交换机开启snmp协议 2.安装mrtg yum -y install mrtg 3.配置mrtg (1)创建配置文件,若有多个交换机,可对每个交换机创建相应的配置文件 mkdir -p /usr/local/mrtg cfgmaker -output=/usr/local/mrtg/switch.cfg public@交换机IP 此时生成的switchw.cfg配置文件,记
突发国内大量家用路由器遭 DNS 劫持,附自查与解决方案
民工哥的博客
08-09 236
戳下方名片,关注并星标!回复“1024”获取2TB学习资源!????体系化学习:运维工程师打怪升级进阶之路 4.0— 特色专栏—MySQL/PostgreSQL/MongoDBElasticSearch/Hadoop/RedisKubernetes/Docker/DevOpsKafka/RabbitMQ/Zookeeper监控平台/应用与服务/集群管理N...
将近 10 万字爆肝 3 天整理 408 考研计算机网络复习笔记(更新中)
热门推荐
唤醒手腕
04-11 3万+
唤醒手腕考研计算机网络复习笔记:2022/4/11:课程学习(王道考研) 概念、组成、功能和分类 标准化工作及相关组织 Request for comments RFC RFC要上升为因特网正式标准的四个阶段: ①因特网草案(Internet Draft)②建议标准:开启成为RFC文档(Porposed Standard)③因特网标准(Internet Standard) 标准化工作的相关组织 国际标准化组织 ISO:ISO参考模型、HDLC协议 国际电信联盟 ITU:制定通信规则 国际电气电子工程师协会
家用无线路由器产品网络性能质量分析.pdf
10-08
根据提供的文件信息,本文将对家用无线路由器产品的网络性能质量进行深入分析,涵盖的主要知识点包括:无线路由器网络中的角色与重要性、网络性能的关键指标(如吞吐量、丢包率)、测试方法以及这些性能参数如何...
基于改进CUSUM算法的路由器异常流量检测.pdf
10-09
基于改进CUSUM算法的路由器异常流量检测是一种实时检测路由器异常流量的方法。CUSUM算法是一种基于统计学的方法,它可以检测数据流中的异常值。改进CUSUM算法可以实时检测路由器流量异常,提高检测速度和准确性。 ...
突发交换边缘路由器性能分析.pdf
10-09
【光突发交换边缘路由器性能分析】 光突发交换(OBS:Optical Burst Switching)是一种新兴的光网络交换技术,旨在提升带宽利用率并降低中间交换节点的复杂性。随着互联网的飞速发展和光通信技术的进步,OBS被认为...
​数据链路层——流量控制&可靠传输机制 ​
qq_25467441的博客
09-09 740
例题:一个信道的数据传输率为4kb/s ,单向传播时延为30ms ,如果使停止-等待协议的信道最大利用率达到80%,要求的数据帧长度至少为。设数据帧的长度为L比特,则发送方发送全部的数据需要时间:L/4。“停止-等待”就是每发送完一个分组就停止发送,等待对方确认,在收到确认后再发送下一个分组。因为是在讨论可靠传输的原理,所以并不考虑数据是在哪一个层次上传送的。发送方在一个发送周期内,有效地发送数据所需要的时间占整个发送周期的比率。数据链路层的流量控制是点对点的,而传输层的流量控制是端到端的。
200 Gb/s和400 Gb/s网络
dncsk的专栏
09-07 1432
116.200 Gb/s和400 Gb/s网络简介写在前面 :1.需要英文原文请自行官网下载2.本人无授权故亦不接受相关付费服务 如有商业性需求建议寻找有资质的书籍供应商购买3.翻译纯粹为爱发电,因为机器翻译所以错乱较多 建议参照英文原文对比使用 4.欢迎评论区提出建议或意见 原则上不删除评论 原则上不回复私信 和解呈现200GBASE-RPCSPMDIEEEStd802.3-2022,IEEE以太网标准第八节116.200Gb/s和400Gb/s网络116.1概述116.1范围本条款描述了200千兆位和4
[网络]HTTP协议 Cookie与Session
m0_74910646的博客
09-07 792
HTTP Cookie(也称为 Web Cookie、浏览器 Cookie 或简称 Cookie)是服务器发送到 用户浏览器并保存在浏览器上的一小块数据,它会在浏览器之后向同一服务器再次发 起请求时被携带并发送到服务器上。通常,它用于告知服务端两个请求是否来自同一浏览器,如保持用户的登录状态、记录用户偏好等。HTTP Session 是服务器用来跟踪用户与服务器交互期间用户状态的机制。由于 HTTP 协议是无状态的(每个请求都是独立的),因此服务器需要通过 Session 来记住用户的信息。
145-Linux权限维持&Rootkit后门&Strace监控&Alias别名&Cron定时任务
DamnVanish的博客
09-07 867
Linux中最强权限维持rootkit
亚信安全出席第五届国际反病毒大会 探究AI现代网络勒索治理
亚信安全官方账号的博客
09-09 498
亚信安全出席活动并发表题为《AI时代下现代网络勒索治理》的演讲
网络分析仪仪器校准要怎么进行检测?容易出现哪些误差?
最新发布
2401_83476848的博客
09-12 269
误差修正是对已知校准标准的测量,这些测量值存储在分析仪的存储器之中,数据用于计算误差模型。系统误差是由矢量网络分析仪和测试设置之中的缺陷引起的,是重复性误差,并假设它不随时间变化。校准件的使用可以达到减少误差的目的。2.开关重复性误差:分析仪中用于切换源衰减器设置的机械式RF开关,有时当机械式RF开关被启动时,触点的闭合方式与上次启动时不同。通过仪器校准措施增强,消除反射测量之中的三个系统误差:指向性、源匹配、频率响应。:是由于仪器或测试系统仪器校准之后性能发生变化引起的,主要是温度变化引起的。
综合DHCP、ACL、NAT、Telnet和PPPoE进行网络设计练习
m0_62909438的博客
09-07 1158
通过学习到的DHCP、NAT、ACL、Telnet和PPPoE技术,进行综合实验配置,掌握这些技术的配置,了解其用法,加深命令印象。
OpenWRT有三个地方设置DNS,究竟设置哪个地方会更好?
小白电脑技术的博客
09-10 665
一般来说咱们使用默认的DNS就好了,没必要手动去设置DNS啦!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值