網站域名偽裝
註:為了區別於下文的信箱域名,這裡手機域名.mobi歸類到網站域名統一敘述
一、重定向域名偽裝(即URL轉發)。是通過伺服器的特殊設定,將訪問當前域名的用戶引導到指定的另一個域名。這樣的域名偽裝在很久很久以前是常有的,會把在其他網站上註冊並經營了一段時間的二級域名或三級域名,偽裝成為新買的域名,這樣做不僅可以讓搜尋引擎把新買的域名當作實際應該收錄的二級域名或三級域名,而且節省和延續了大把的經營時間和成本甚至會PR劫持。不過缺點也很明顯,一旦原先的二級域名或三級域名的服務商不在了,那么網站也就不存在了,更大的缺點是搜尋引擎的判斷也需要時間也有延遲,更何況這樣得到的PR並沒有什麼價值可言。現在我們也會經常碰到這樣的域名偽裝,不過有些是用於網站改版等正當用途,而有些是非正當用途。
二、 超連線域名偽裝。這樣的域名偽裝一般存在於WEB或WAP站點,不適用於常見的即時通訊工具。一般是通過文本或者圖片等,表面上顯示的是某個域名,但是文本或者圖片等內部卻偽裝插入了指向另外一個域名的超連結,這樣做用戶會點擊表面上顯示出來的認為是指定內容的域名,從而達到讓用戶訪問偽裝域名的目的。
三、相似字元域名偽裝。這類域名偽裝可分細為頂級域名偽裝、二級域名偽裝、三級域名偽裝,最不容易區分的還是頂級域名偽裝,最典型的就是10086,眾所周知,是中國移動客服電話,頂級域名是cn,但誰會想到,所有打上10086的域名,無論是com、net還是其他的等等,就是域名偽裝呢?我們不光與中國移動官方.頂級域名cn擦肩而過而且經常連10086都不能對號入座。 還有一些更加難以辨認的,如:163和l63(這個是小寫字母L)。數字1和字母l,字母O和數字0,多一個s,少一個s,加入-或者_這兩個符號,重複或者少字母,把兩個字母調換位置等等。
四、URL編碼域名偽裝,瀏覽器除了支持ASCII碼字元的URL,還支持ASCII碼以外的字元,同時支持對所有的字元進行編碼。URL編碼就是是將字元轉換成16進制並在前面加上“%”前綴, 比如我們將域名後綴.cn進行URL編碼%2E%63%6E,“.cn”這三個字元就是以每個字元的16進制形式加上“%”前綴。這類域名偽裝往往伴隨著一個用戶信任度極高的二級域名以及三級域名,因而用戶在慣性思維下很難分辨真偽。
五、漏洞域名偽裝。客戶端和服務端都存在著漏洞也在不停的修補漏洞,慢慢的升級彌補缺陷擴展功能。所以下面只介紹一個最典型的@域名偽裝。雖然這類域名偽裝在IE7已經無效,在火狐瀏覽器,Opera瀏覽器會遭遇提示。但其他的瀏覽器還是默默無聞地從了黑客,包括我們最常用到的IE6等。域名在被瀏覽器解析的時候,只執行了@後面的URL,並且沒有任何提示,這也就給了域名偽裝以可趁之機,同時@後面的內容也可以進行HEX轉換來加強偽裝效果,但是這種用法的技術含量稍高,編輯難道稍大。
信箱域名偽裝
信箱域名不同於網站域名,但是信箱域名同樣可以進行域名偽裝,偽裝郵件域名之所以看起來很困難,是因為信箱域名一般都是知名品牌的域名。其實我們是可以通過郵件代理伺服器傳送匿名郵件的,在沒有郵件代理伺服器的情況下可以在本地架設伺服器傳送匿名郵件,甚至可以直接利用WEB腳本程式使用虛擬主機、WEB伺服器的郵件服務傳送匿名郵件。通過郵件代理伺服器可以直接修改郵件原始信息中MIME頭的FROM欄位,也就是發件人地址,利用這種匿名郵件可以偽造任何人的身份傳送郵件。如下,部分原始郵件頭信息:
Received::from localhost (unknown [210.191.163.131])
by 192.168.1.1 (Postfix) with ESMTP id 8D20F606002
for <收件人信箱地址>;Tue,,23 Dec 2008 10:03:08 +0800 (CST)
Subject::我是毛孩兒!
MIME-Version::1.0
From::“admin” <發件人地址>