其他人已经在.ma TLD中注册了一个指向我的networking服务器IP地址的名字。
我的域名foo.bar – >我的IP地址1.2.3.4
有人定义:
suspiciousdomain.ma – >我的IP地址1.2.3.4
所以这看起来与典型的DNS欺骗相反。
问题:
这是准备其他一些攻击? 就像人们login到suspiciousdomain.ma网站,然后suspiciousdomain.ma会在一段时间后更改IP地址,并将stream量redirect到用于窃取凭据的“中间人”服务器?
防止这种情况的最好方法是什么?
我正在考虑阻止Host:头上的HTTP请求(即拒绝所有没有Host: foo.bar头集的http请求)。 这样做是否有效,也就是说,攻击者有没有合理的方式来滥用它? (是由浏览器设置的头?)
在页面中embeddedJavaScript代码以防止这种情况并不一定非常有效,因为攻击者在将DNS切换到“中间人”服务器地址时可以删除此代码。
您可以通过显式定义您的ServerName指令轻松地防止在Web服务器级别。 不匹配的主机将被简单地集中到默认页面(或任何您select的)。
欺骗Host:头部是可能的,但是这阻止了最常见的方式。 更可怕的是,可疑的域名将重复您的域名上的内容损害search引擎优化评级(search引擎讨厌重复的网站),所以Apache的修复将做的伎俩。