即使昨天AWS服务器被劫持，DNS劫持是myetherwallet.com的错误

Question

我一直在读到，一天前，由于亚马逊的域名服务遭到了破坏，mentioned钱包是如何被黑客入侵的，就像这里提到的，

https://www.reddit.com/r/ethereum/comments/8ek86t/warning_myetherwalletcom_高顶_在……上面_谷歌/

标题是错误的。是亚马逊的域名服务遭到了破坏。谷歌DNS服务器只需采取任何IP亚马逊域名服务告诉它，米夫的域名决心。https://doublepulsar.com/hijack-of-amazons-internet-domain-service-used-to-reroute-web-traffic-for-two-hours-unnoticed-3a6f0dda6a6f

和

https://www.theregister.co.uk/2018/04/24/myetherwallet_dns_劫持/劫持

但在MyEtherWallet的推特上，人们指责他们的黑客攻击，抱怨如果他们有DNSSec到位，这是不会发生的。

这怎么会是MyEtherWallet的错，即使Amazon被劫持了？

Answer 1

这里有几件事情出了问题，MyEtherWallet本可以做一些事情来降低风险。问题是DNS服务器的流量被劫持，因此对特定域的查询导致假响应，从而将浏览器定向到攻击者IP地址，服务器模拟原始站点。在那里，用户出现了一个假网站，它看起来像原来的一个。

DNSSec正是为防止这种欺骗而设计的，即检测响应是假的。但是，DNSSec需要来自域所有者(必须签署记录)、DNS服务器(必须返回签名记录)和客户端(必须需要签名记录)的支持。虽然MyEtherWallet可以将系统配置为为域提供DNSSec，但它无法控制客户端部分:攻击者本来可以返回一个未签名的响应，因为最初只有一些客户端会请求DNSSec，而更少的客户会坚持只获得有签名的响应。

将HSTS设置为MyEtherWallet域会更容易一些。如果设置了此header，现代浏览器将记住，HTTPS始终需要访问域，并且在出现SSL问题时不允许出现异常。为了绕过这种简单的设置保护，攻击者还需要获得受攻击域的有效证书。如果攻击者暂时控制域(如这篇报道来自对福克斯-IT公司的袭击中所示)，通常可以获得这样的证书，但通过使用带有附加控件的CA颁发机构，并通过使用DNS CAA记录限制颁发者CA，攻击者可能无法或至少很难从公共CA获得此域的证书。

总之: MyEtherWallet可以做几件事情来使攻击者更加困难。其中有些很容易实现，但仍然非常有效(HSTS)。其他的(如DNSSec)需要在客户端提供足够的支持，这在今天已经不是现实了。