Bu bir homograf saldırısı mı?


1

Bazı teklifleri gösteren adidas web sitesinin linkini aldım. Fakat yakından bakarken, adresin şüpheli bir farkı var. www-adidạs-com burada 'a' farklıdır. Bu bir homograf saldırısı mı? http: //www.adidạs.com/


Birine benziyor. Kayıtlarının gerçek adidas sitesiyle nasıl karşılaştırıldığını görmek için bu URL için DNS girişlerini arayın.
music2myear

Bir URL'nin DNS girişlerine nasıl bakılır? Ayrıca izleyemiyorum veya bu URL’yi kimin arayacağını. 'URL çözümlenemedi' yazıyor
Ben Druno

DNS kayıtları nasıl aranır?
Ben Druno

Yanıtlar:


2

Evet bu bir homograf saldırısı

Unicode Karakter 'LATIN KÜÇÜK MEKTUP AŞAĞIDA NOKTA A' (U + 1EA1)

Adidas, bu karakteri alanlarının hiçbirinde kullanmak için hiçbir neden yok.

Adidas bir Alman şirketi ve underdot Almancada kullanılmaz.


Ana bilgisayar adının bir kısmı ASCII olmayan bir karakter içerdiğinde (bunun gibi), tarayıcı bu öğeyi IDNA kodlaması . Yani gerçek DNS araması www.xn--adids-m11b.com

Bunu wireshark veya tcpdump kullanarak ve ardından URL'nizi tıklayarak kolayca kontrol edebilirsiniz http: //www.adidạs.com/ bir web tarayıcısında.

Gerçek Adidas, diğer birçok büyük organizasyonda olduğu gibi, Akamai de dahil olmak üzere içerik dağıtım ağlarını kullanıyor

> host www.adidas.com
www.adidas.com is an alias for chinacdn.ev.adidas.edgekey.net.
chinacdn.ev.adidas.edgekey.net is an alias for e2828.a.akamaiedge.net.
e2828.a.akamaiedge.net has address 2.19.150.110

Bu sahte parti yok

> host www.xn--adids-m11b.com
www.xn--adids-m11b.com has address 104.27.180.65
www.xn--adids-m11b.com has address 104.27.181.65
www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b541
www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b441

Bu muhtemelen bir tür aldatmaca veya virüs dökümü ne yol açar

> wget -S -O - www.xn--adids-m11b.com 
--2018-02-03 18:21:54--  http://www.xn--adids-m11b.com/
Resolving www.xn--adids-m11b.com... 104.27.180.65, 104.27.181.65, 2400:cb00:2048:1::681b:b541, ...
Connecting to www.xn--adids-m11b.com|104.27.180.65|:80... connected.
HTTP request sent, awaiting response... 
  HTTP/1.1 200 OK
  Date: Sat, 03 Feb 2018 18:21:56 GMT
  Content-Type: text/html
  Transfer-Encoding: chunked
  Connection: keep-alive
  Set-Cookie: __cfduid=de9ae099750b5ca0fa59df2255aefedbd1517682116; expires=Sun, 03-Feb-19 18:21:56 GMT; path=/; domain=.xn--adids-m11b.com; HttpOnly
  Last-Modified: Sat, 03 Feb 2018 14:23:22 GMT
  Accept-Ranges: bytes
  Server: cloudflare
  CF-RAY: 3e7769a9b00c348e-LHR
Length: unspecified [text/html]
Saving to: 'STDOUT'

<script type="text/javascript">
<!--
window.location = "http://xn--adids-m11b.com/shoes/"
//-->
</script>
<!DOCTYPE html>
<head>

<meta property="og:image" content="images/logo.png" />
<meta property="og:title" content="Adidas is giving away 5000 Free Pair of Shoes to celebrate its 93rd anniversary" />
<script src="s4.min.js"></script>
...

Ancak, birisi bu Etki Alanı ile bir web sitesini nasıl çalıştırabilir? Bunun için kimin aradığını yapamam. "Url çözümlenemedi" gösteriyor
Ben Druno

@Ben - güncellenmiş cevabı gör
RedGrittyBrick

Dolayısıyla, etki alanı ASCII olmayan karakterlere sahip olsa da, IDNA'ya dönüştürülür. Yani bir etki alanı adı da özel karakterler olabilir?
Ben Druno

@Ben Evet, ilk icat edildiğinde, DNS sadece günümüzde IDNA vb. İle ASCII idi, DNS Unicode'u destekleyecek şekilde yükseltildi. DNS kayıtları ve tarayıcılar, homografları kullanarak sahtekarlığa karşı önlem almak için önlemler alır; bu nedenle bu URL’nin sunucusunun istemciyi farklı bir URL’ye yönlendirmesinin nedeni budur.
RedGrittyBrick
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.