Это гомографическая атака?

6118
Ben Druno

Я получил ссылку на сайте addidas с некоторыми предложениями. Но когда я внимательно посмотрел, адрес имел некоторую подозрительную разницу. www-adidạs-com здесь «а» отличается. Это гомографическая атака? Http: //www.adidạs.com/

1
Выглядит как один. Посмотрите записи DNS для этого URL, чтобы увидеть, как их записи сравниваются с реальным сайтом Adidas. music2myear 6 лет назад 0
Как найти DNS-записи URL-адреса? Также я не могу найти трассировку или whois для этого URL. Там написано «Не удалось разрешить URL» Ben Druno 6 лет назад 0
Как искать записи DNS для записей? Ben Druno 6 лет назад 0

1 ответ на вопрос

2
RedGrittyBrick

Да это гомографическая атака

Символ Юникода 'LATIN SMALL LETTER A WITH DOT НИЖЕ' (U + 1EA1)

У Adidas нет причин использовать этот символ в любом из своих доменов.

Adidas - немецкая компания, и недоиспользуемый материал не используется на немецком языке.


Если часть имени хоста содержит не-ASCII-символ (такой как этот), браузер преобразует этот элемент в кодировку IDNA . Таким образом, фактический поиск DNS - www.xn--adids-m11b.com

Вы можете легко проверить это, используя wireshark или tcpdump, а затем щелкнув по URL-адресу http: //www.adidạs.com/ в веб-браузере.

Настоящие Adidas используют сети доставки контента, включая Akamai, как и многие другие крупные организации.

> host www.adidas.com www.adidas.com is an alias for chinacdn.ev.adidas.edgekey.net. chinacdn.ev.adidas.edgekey.net is an alias for e2828.a.akamaiedge.net. e2828.a.akamaiedge.net has address 2.19.150.110 

Эта поддельная партия не

> host www.xn--adids-m11b.com www.xn--adids-m11b.com has address 104.27.180.65 www.xn--adids-m11b.com has address 104.27.181.65 www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b541 www.xn--adids-m11b.com has IPv6 address 2400:cb00:2048:1::681b:b441 

Это приводит к тому, что, возможно, это какая-то афера или вирусная свалка

> wget -S -O - www.xn--adids-m11b.com  --2018-02-03 18:21:54-- http://www.xn--adids-m11b.com/ Resolving www.xn--adids-m11b.com... 104.27.180.65, 104.27.181.65, 2400:cb00:2048:1::681b:b541, ... Connecting to www.xn--adids-m11b.com|104.27.180.65|:80... connected. HTTP request sent, awaiting response...  HTTP/1.1 200 OK Date: Sat, 03 Feb 2018 18:21:56 GMT Content-Type: text/html Transfer-Encoding: chunked Connection: keep-alive Set-Cookie: __cfduid=de9ae099750b5ca0fa59df2255aefedbd1517682116; expires=Sun, 03-Feb-19 18:21:56 GMT; path=/; domain=.xn--adids-m11b.com; HttpOnly Last-Modified: Sat, 03 Feb 2018 14:23:22 GMT Accept-Ranges: bytes Server: cloudflare CF-RAY: 3e7769a9b00c348e-LHR Length: unspecified [text/html] Saving to: 'STDOUT'  <script type="text/javascript"> <!-- window.location = "http://xn--adids-m11b.com/shoes/" //--> </script> <!DOCTYPE html> <head>  <meta property="og:image" content="images/logo.png" /> <meta property="og:title" content="Adidas is giving away 5000 Free Pair of Shoes to celebrate its 93rd anniversary" /> <script src="s4.min.js"></script> ... 
Но как кто-то может запустить сайт с этим доменом? Я не могу сделать это для поиска. Показывает "не удалось разрешить URL" Ben Druno 6 лет назад 0
@Ben - см обновленный ответ RedGrittyBrick 6 лет назад 0
Таким образом, даже если домен не имеет символов ASCII, он будет преобразован в IDNA. То есть доменное имя может иметь какие-то специальные символы? Ben Druno 6 лет назад 0
@Ben Да, при первом изобретении DNS был только ASCII, в настоящее время через IDNA и т. Д. DNS был обновлен для поддержки Unicode. Реестры DNS и браузеры внедряют меры для предотвращения фальсификации с помощью гомографий - вероятно, поэтому сервер этого URL в конечном итоге перенаправляет клиента на другой URL. RedGrittyBrick 6 лет назад 0

Похожие вопросы