您现在的位置: 
通过进一步的技术分析,发现攻击者采用的攻击方法为劫持DNS解析过程,篡改腾讯迷你首页的DNS记录,攻击点发生在运营商的DNS服务器或该服务器的上行网络环境中,影响用户为使用该DNS的用户。
确认的过程如下:
通过有关渠道确认58.215.79.*非腾讯机房IP,排除腾讯机房自身问题。向多个DNS发起请求,发现DNS服务器219.150.32.*返回错误的地址信息,判定攻击为DNS劫持。通过位于全球的多个监测节点向该DNS发起解析,得到同样被篡改的解析结果,排除单个监测节点的线路被劫持。
通过以上手段,可以定位攻击发生在该DNS或该DNS连入互联网的上行网络环境中,攻击方法为篡改特定DNS的记录, 造成服务器正常的DNS响应被修改,用户访问的网页中被插入恶意链接,这种攻击方式,具有针对性,并有一定的隐蔽性,处理上需要多个环节的协同,增加了处理的难度。
由于该服务器返回的解析结果有时正确,有时错误,我们猜测是DNS服务器受到了ARP欺骗攻击,而由于该ARP欺骗软件的效率问题,导致未能劫持全部DNS解析记录,从而向该DNS的解析有时正确,有时错误。
受攻击用户估算:
通过初步估算预计被攻击用户量应超过万客户端,但由于部分用户为企业专线用户,同时由于QQ非官方版本和客户端安全措施的存在,准确估计感染数量有一定难度。目前尚未得到其他DNS受到同类攻击的记录。
估算模型可以简化为如下方法:
受攻击用户数量=估算该DNS用户量x攻击持续时间x腾讯的单日活跃用户比率
安全提示:
用户可以自行检测所使用DNS对minisite.qq.com的解析结果,如为58.215.79.*,应为受到相关攻击,企业用户可以在防火墙中阻止对该IP连接。个人用户也可做相应设置,并及时升级您的反恶意代码软件。
因发出预警报告后,由于腾讯公司在我国显著的知名度,有部分网友向我们咨询是否是腾讯公司机房被入侵,所以特定重新做了相关的技术分析,从本次技术分析的结果看,攻击未显示腾讯公司机房有被入侵现象,攻击环节发生在运营商处,因腾讯的大量用户而被攻击者选为攻击目标。为了防止误解,我们修改了本次预警报告。
腾讯公司已经在网络安全方面做了大量的投入,并在客户端安全做了大量的工作,如QQ安全医生,键盘保护等措施,取得了一定的效果。但由于QQ软件庞大的装机量和活跃用户量,QQ和其各相关环节已经成了众多攻击者的首选目标,攻击者的攻击手法层出不穷,这一次攻击巧妙的攻击了一个中间环节,从而达到了攻击大批用户终端的目的。
我们建议腾讯公司在客户端内嵌入反DNS 劫持措施,由于腾讯公司在用户客户端有相应软件并具备在线升级功能,从而比起单独的网站来对于DNS劫持天然具有更好的抵御能力,比如一种做法是,可以将正确的DNS解析库签名后定期升级到用户客户端,并在客户端做相应的校验。这里顺便厚颜做一下广告:该措施和其它一些反DNS劫持手段也为安天公司的下一代主机保护产品所使用。
