由Myetherwallet事件引發的思考：如何在DNS攻擊中全身而退？

DNS攻擊的表現形式有很多種，通常都針對連接互聯網的域名伺服器。有時候DNS攻擊只會導致網站下線或者無法訪問，但在最壞的情況下，它們可能帶來慘痛的代價，就比如Myetherwallet攻擊事件（損失資金達15萬美元）。如果你身處加密貨幣領域，防止DNS攻擊不是不可能的。

DNS攻擊如何運作

本周的一場DNS攻擊影響了大量的大型網站，對於Myetherwallet用戶來說更是付出了巨大的代價。技術公司Cloudflare在文章《BGP和加密貨幣》中說明了這場攻擊是如何發生的，攻擊者優勢如何利用DNS系統漏洞的。BGP指的是邊界網關協議，是將信息從網路的一部分路由到另一部分的標準網關。

通過現有的70多萬個可行路由，從A點到B點或者Z點，又或者是任意一點都可以有很多不同的路徑。大多數情況下，這些由不同的互聯網供應商運作的鏈式結構都能夠相互溝通，但偶爾會出現意外。通常這些漏洞都是小範圍的，是由配置錯誤導致的。不過，Cloudflare解釋道：

有時候（BGP漏洞）是帶有惡意目的的。可以通過重新路由前綴來被動地分析數據。

在漏洞爆發的這兩個小時內，IP範圍內的伺服器只響應了myetherwallet.com的查詢。部分人已經注意到了伺服器發生故障。任何由Route53處理的DNS解析器都只能查詢到被BGP漏洞所影響的主伺服器。

任何連接到受攻擊的DNS解析器的人就會被迫與一家俄羅斯供應商連接，事實證明這家供應商是個騙子。

可以從下圖中更直觀地看到正常的網路與被攻擊的網路之間路由傳輸的差別。

（運作正常的網路）

（遭到DNS攻擊的網路）

如何檢測DNS攻擊

好消息是，在大多數情況下，識別BGP劫持並不需要使用互聯網協議結構中的主伺服器。首先，瀏覽器的https地址會出現錯誤。如果瀏覽器地址欄的「https」顯示為綠色，那麼就證明你訪問的網站是安全的。如果出現紅色或者瀏覽器發出了警告信息，你就不應該再進行下一步操作了，即使URL是正確的。

Myetherwallet攻擊事件的受害者之一就曾看到瀏覽器提示他連接的網站不安全：「儘管我身體的每個部分都告訴我不要再繼續登錄了，但我還是這樣做了。」由於瀏覽器中跳出的通知太多，造成了用戶的認知疲勞，因此它們很容易忽視重要信息。要知道，並不是所有通知都是垃圾信息：其中有一些十分重要，可能幫你解除困境。

Cloudflare解釋道：

如果你在使用HTTPS，虛假網站會顯示TLS（傳輸層安全）證書來源於未知的組織（證書中的域名是正確的，但卻是自簽的）。這場攻擊得以繼續的唯一條件就是你接受了這個錯誤的證書。之後，你發送的一切內容都是加密的，但攻擊者卻是密鑰的持有者。

保管好你的幣

Whoismydns.com等網站能夠幫助用戶核對他們連接到的伺服器名稱和IP，即核對他們的網路服務供應商（ISP）。不幸的是，除此之外，普通用戶什麼都做不了，檢測BGP漏洞的責任在網路管理者。把加密貨幣存在中心化的交易所是有風險的，與Myetherwallet等網站以及Etherdelta等去中心化交易所連接也是一樣——這兩個網站都遭到了DNS攻擊，投資者幾乎沒有選擇。有些公司已經開始研究相關技術，提醒加密貨幣交易所用戶承擔DNS造成的風險，但距離實際應用還有很遠。

唯一確保加密貨幣安全的方式就是存在不需要連接互聯網的硬體錢包里。但要想獲取錢包里的幣，還是需要連接互聯網。為了正常的工作和生活，你不應該每時每刻都擔心網路被劫持或攻擊。但當你進入在線錢包和交易所時，一定要記得檢查https地址。如果你得直覺告訴你有些不對勁，那麼就應該相信你的直覺，留意警告信息，這很可能幫你保住你的幣。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！