ネスペ27礎、ネット犯罪の犯人を追え

その本は読んだことありませんがこちらを解説します。 ＞「proxyサーバ経由のため、hostsファイルを変更してダミーサイトに誘導できない」 例えば、「http:// www.abc.com/def/ghi.html」と言うURLにパソコンのブラウザでアクセスする場合、以下のような手順になります。 (1)「www.abc.com」と言うホスト名をDNSに問い合わせてIPアドレスに変換する(仮に www.abc.com → 1.2.3.4 と解決されたとします) (2)変換されたIPアドレス 1.2.3.4 サーバの80番ポートに、「/def/ghi.html」と言うファイルをリクエストする (3)送られてきたデータを、HTMLレンダリングエンジンを通してブラウザ内に表示する。 ここで、hosts の内容に「5.6.7.8 www.abc.com」のように書かれてあった場合。 (1)のアドレス解決で、DNSよりもローカルhostsによる解決が優先してしまうため、www.abc.com→IPアドレス 5.6.7.8 と変換をしてしまいます。 そうすると、(2)のアクセスにおいて 5.6.7.8のサーバに「/def/ghi.html」ファイルのリクエストをしてしまいます。 まったく違うサーバからHTMLデータを取得した結果、ブラウザの脆弱性を突くマルウェア入りのHTMLデータを読み込んでしまう、あるいは偽サイトが表示されてクレジットカード番号を入力してしまったり…というような被害に合うことになります。 ところがここで、proxyサーバの設定があった場合、ブラウザの動作はかなり違ってきます。 (1')proxyに、「http:// www.abc.com/def/ghi.html」と言うURL全体を渡して、この場所のデータをくれと要求する。 (2')proxyがサーバ名を解決、外部サーバにアクセスし、データ取得する。 (3')proxy経由で送られてきたデータを、HTMLレンダリングエンジンを通してブラウザ内に表示する。 こうなると、パソコン側にhostsがあっても使いません。 www.abc.comのIPアドレスを解決するのはproxyサーバで、普通にDNS(あるいはproxyサーバ内部のhosts)を用います。 そこにパソコン側からは関与できませんから、自然とローカルhosts書き換えによる被害からは、逃れられることになります。