[虾米说安全-防病毒我出招]最近网络上针对MSN网站的新型网络攻击传得沸沸扬扬，各家高手都有根据受害者现象提出分析和建言。其实针对网络协议漏洞的攻击一直都有出现，和以往的传统型本机病毒或是网络型蠕虫不同的是网络攻击针对一些网络协议的漏洞而产生的攻击。使得一般使用者很难防范也很难去找出真正的问题的所在。
关于网络型攻击，目前可以观察到的主要有三种。虽然这三种发作的特征对一般用户来说看起来很像，但是背后的原理并不相同：
    第一种就是DNS欺骗类型的攻击。这种攻击是从原本会窜改本机的Host档案病毒变化而来，变成直接去修改DNS查询回复。从WORM_DOWNAD病毒会修改本机上的DNS查询响应，到局域网内部利用ARP欺瞒攻击去制造假DHCP封包，以变更用户的DNS主机为外部的恶意DNS服务器上，大致直接更改电信业者的DNS服务器内容（例如之前的中国电信业者事件）。不管其影响层级是本机，局域网内部或是ISP网络。主要目的都一样是变更DNS的查询内容，导致客户端浏览网络时会直接被导到错误或恶意的网站上。这类型的网络攻击该如何识别呢？最简单的方法就是利用别的网络联机，查询别家电信业者的DNS或是利用在线DNS查询服务查出正确的IP出来作比对。也可以直接去反查假造的IP 都可以观察出可疑的地方。
    第二种就是man-in-the-middle中间人攻击。不管是ARP欺骗攻击加上网页挂马，或是直接攻击快取服务器的Last mile injection都属于这类型的攻击。这种攻击很类似本机上的网页感染型病毒，都会插入恶意iframe tag到网页内容以诱导浏览者在背景直接连结恶意代码。不同的是它们并不是感染本机，而是直接修改网络封包内容加上恶意iframe tag，所以更加防不胜防。他可以是局域网内部的受感染机器引起（如前阵子常见的ARP类型病毒），也可以是xSP端的受感染机器引起（如之前的蕃薯藤事件），更可能直接感染快取服务器（如去年的MSN网站事件）。这种攻击的特征就是在真实网站上其实找不到被修改的程序代码，但是使用者会在自己收到的网页（通常是最上方）发现被插入的恶意iframe tag。而其余的页面内容还是正常的。
    第三种就是TCP Hijacking攻击。也是这次MSN网站攻击的真正幕后黑手。它是在真实的服务器响应封包之前抢先送出假的响应封包，如果它可以抢在真的封包之前那么依照网络协议真正的封包反而会被当成重复封包丢弃。对客户端来说，他所看到的也是来自真实服务器的IP回应，并不是第三方的IP位置（这点和DNS欺瞒攻击不同）。但是这假封包内会含有HTTP转址指令让客户端转而浏览有问题的网站。

以下就是针对这次事件的封包截图可以看到编号五的封包便是假封包可以看到内含<html>..<body>..<meta http-equiv="refresh" content="0;url=http://www.dachengkeji.com/article/index.htm">..</body>..</html> 将客户端导到有问题的网站上去。

    这类型的攻击也同样可能是在局域网络内部或是ISP网络中的机器所引起。但是由于这类型的攻击需要Sniffer封包，再根据客户端发出的封包内容来响应假造的封包。所以必须有能力直接监听到客户端封包的位置才有办法做到。这也就是说，如果是处在有隔绝网络广播的网络，当听不到别的客户端封包时，就无法发动攻击。
    而这次的攻击也从一开始仅仅转址的实验性质发展到了会变成转址为下载一个恶意网页，而在后端下载许多恶意代码进入客户端，最后又会将用户导回正常的网页。变成了一个真正不容易被察觉的恶意攻击。
这类型的攻击特征就是DNS并没有被窜改，但是原本网页内容却整个改变了。由于大型的网站不大可能真的彻底被攻占，所以这时候便可以分析封包看出是否为TCP Hijacking攻击。
    不过不管是何种网络攻击，虽然网络协议的漏洞导致容易接受到假讯息，但是也不至于达到完全都是伪造却还可以维持联机的状况。所以最终病毒作者还是需要将使用者导到恶意连结才有办法进行真正的攻击。
体验主动式云端截毒服务的免费网页威胁防御工具： WTP Add On 免费拆除黑心连结

欢迎订阅虾米说安全

虾米推荐： 

趋势科技闪电杀毒手v2.5：解毒快手清毒我最快

上网无忧电子眼(WTP)：网页威胁防御工具帮你拆除黑心连结

趋势科技网络安全专家（TIS2009）单机产品公测版：云安全防护技术实际零感染