台湾MSN首页在3月初时,遭受到不明的转址攻击,部分连上该网页的使用者,会被自动转换地址至会植入恶意程式的中国网站。然而微软与ISP的专家清查后,均表示双方的系统皆没有受到入侵,这使得整个攻击手法与来源,蒙上一层神秘的面纱。之后更传出包括CNET公司, CNET科技资讯网等网站,也遭受到同样的攻击。
排除的DNS投毒的可能性,矛头指向连线途径
在资讯不足的状况下,各界开始猜测各种可能性,最早有部分专家认为,这样的状况应该是的DNS投毒的手法。
但随着此一攻击的封包传输方式被公布,发现转换地址的方式是在对方服务器有回应时,从中截断,而非是DNS投毒伪造的DNS回应,这也使得的DNS出问题的可能性开始被排除
部分安全专家开始猜测,是否是中华电信的路由器发生问题。事件爆发之后,相关部门检查过的DNS与中华电信的路由器,确认没有被感染的状况。
ARP协议挂马为目前推测最有可能的手法
台湾有安全专家表示,过去就曾处理过类似的地址解析协议挂马事件,状况和此次攻击的手法相当类似。他以过去的经验为例,检查被攻击的网站主机后,却未发现任何后门或挂马,但连往该站却又出现含有恶意挂马的网页,但并不是每次都出现,非常怪异,经过抽丝剥茧的测试与网路环境检查,才发现该手法为地址解析协议挂马攻击,真正受害的其实是该服务器区周边的某一台主机,遭人放置ARP协议攻击程式,使用人在中间的手法来拦截封包并插入特定恶意封包。 “这也能解释为什么转换地址不是每次都发生,因为地址解析协议投毒的手法,本来就不是很稳定,尤其是以一台受害主机来充当拦截并窜改封包,等于担任网站流量咽喉口,因此才会造成不是每次都会出现恶意网页转换地址的现象。此外,黑客为了手法不被快速破解,将攻击工具开开关关可能也是原因之一。
