關於這兩天的轉址攻擊事件

這兩天社群上討論的轉址攻擊事件，不少網友在連上ZDNET、CNET等知名網站時，被自動導向到http://www.dachengkeji.com/article/index.htm等網頁。由於我沒遇到，所以沒有親眼目睹這次的情形，不過從網友們反應的狀況來看，倒讓我有種似曾相識的感覺。

在去年底時(12/26)，我就曾在ZDNET遇到網頁中存在惡意連結的狀況，由於這就是我平常例行性的工作之一，當下腦充血就要發到淪陷資料庫了 >_<

不過由於ZDNET牌子大、名氣響XD，我多Reload了幾次頁面，發現這種現象是隨機的，也就是並非每次原始碼中都會有此iframe。另外一方面只要有那個iframe的同時，同時也會多出一些HTTP的訊息，也因此造成ZDNET畫面上方多出一行字串。

我試著換電腦、換Proxy，結果都是相同，同時發現CNET也有相似的狀況，整個狀況持續了將近一整天。至於為什麼沒有很多人發現，一方面是因為隨機性，另一方面是他並不像這次直接將網頁轉向，而當時的那個惡意連結也很快就掛了，對一般人來說只是ZDNET上有時候多了一行字而已。

對於這次的事件，我無法肯定完全相同，不過感覺上十分類似。在這些網站本身沒有問題的前提下，我個人認為是與DNS無關，一方面是DNS的Cache機制有好幾層，包含Client端OS也有，就算是有Round-Robin等情形，也不可能讓同一個使用者在這麼短的時間內出現不同狀況(除非這個惡意手法同時還將DNS TTL更改為一個極低的時間)。而另外的原因就是使用IP也出現相同的情形。

那結論呢？其實我也沒有肯定的答案，不過在去年底時，我為了尋找解答，看到更早注意到當時那個惡意連結的「小歪碎碎念」提出的分析過程和想法，他的結論是：

他的推論和我當時觀察到的ZDNET狀況是吻合的，我一開始也是想太多，所以大家在繼續追查的同時，也可以參考一下囉 ~