其他人已在 TLD 中注册了一个指向我的网络服务器 IP 地址的名称.ma。
我的域名 foo.bar -> 我的 IP 地址 1.2.3.4
有人定义:
suspect_domain.ma -> 我的 IP 地址 1.2.3.4
所以这看起来像是典型 DNS 欺骗的逆转。
问题:
这是在为其他攻击做准备吗?比如,有人登录 suspectdomain.ma 网站,survivabledomain.ma 会在一段时间后更改 IP 地址,并将流量重定向到用于窃取凭据的“中间人”服务器?
预防这种情况的最佳方法是什么?
我正在考虑根据Host:标头阻止 HTTP 请求(即拒绝所有未设置Host: foo.bar标头的 http 请求)。这会有效吗?也就是说,攻击者是否没有合理的方法来滥用它?(该标头是由浏览器设置的吗?)
在页面中嵌入 JavaScript 代码来防止这种情况并不一定有效,因为攻击者可以在将 DNS 切换到“中间人”服务器地址时删除此代码。
答案1
您可以通过明确定义指令,在 Web 服务器级别轻松防止这种情况发生ServerName。不匹配的主机将被引导至默认页面(或您选择的任何页面)。
它是可以欺骗 Host: 标头,但这会阻止最常见的方法。更有害的是,可疑域将复制您域上的内容,这会损害 SEO 评级(搜索引擎讨厌重复的网站),因此 Apache 修复可以解决问题。