流量劫持识别_流量劫持是什么意思_手机流量劫持怎么解决(4)

3.DNS劫持

路由器作为亿万用户网络接入的基础设备，其安全的重要性不言而喻。最近两年曝光的路由器漏洞、后门等案例比比皆是，主流路由器品牌基本上无一漏网。虽然部分厂商发布了修复补丁固件，但是普通用户很少会主动去更新升级路由器系统，所以路由器漏洞危害的持续性要远高于普通PC平台；另一方面，针对路由器的安全防护也一直是传统安全软件的空白点，用户路由器一旦中招往往无法察觉。

针对路由器的攻击事件最近两年也非常频繁，我们目前发现的攻击方式主要分为两大类，一类是利用漏洞或后门获取路由器系统权限后种植僵尸木马，一般以ddos木马居多，还兼容路由器常见的arm、mips等嵌入式平台；另一类是获取路由器管理权限后篡改默认的DNS服务器设置，通过DNS劫持用户流量，一般用于广告刷量、钓鱼攻击等。

[27] 兼容多平台的路由器DDOS木马样本

下面这个案例是我们近期发现的一个非常典型的dns劫持案例，劫持者通过路由器漏洞劫持用户DNS，在用户网页中注入JS劫持代码，实现导航劫持、电商广告劫持、流量暗刷等。从劫持代码中还发现了针对d-link、tp-link、zte等品牌路由器的攻击代码，利用CSRF漏洞篡改路由器DNS设置。

[28] 路由器DNS流量劫持案例简图

[29] 针对d-link、tp-link、zte等品牌路由器的攻击代码

被篡改的恶意DNS会劫持常见导航站的静态资源域名，例如s0.hao123img.com、s0.qhimg.com等，劫持者会在网页引用的jquery库中注入JS代码，以实现后续的劫持行为。由于页面缓存的原因，通过JS缓存投毒还可以实现长期隐蔽劫持。

[30] 常见的导航站点域名被劫持

[31] 网站引用的jquery库中被注入恶意代码

被注入页面的劫持代码多用来进行广告暗刷和电商流量劫持，从发现的数十个劫持JS文件代码的历史变化中，可以看出作者一直在不断尝试测试改进不同的劫持方式。

[32] 劫持代码进行各大电商广告的暗刷

[33] 在网页中注入CPS广告，跳转到自己的电商导流平台

我们对劫持者的流量统计后台进行了简单的跟踪，从51la的数据统计来看，劫持流量还是非常惊人的，日均PV在200w左右，在2015年末的高峰期甚至达到800w左右，劫持者的暴利收益不难想象。

[34] DNS流量劫持者使用的51啦统计后台

最近两年DNS劫持活动非常频繁，恶意DNS数量增长也非常迅速，我们监测到的每年新增恶意DNS服务器就多达上百个。针对路由器的劫持攻击案例也不仅仅发生在国内，从蜜罐系统和小范围漏洞探测结果中，我们也捕获到了多起全球范围内的路由器DNS攻击案例。

[35] DNS流量劫持者使用的51啦统计后台

[36] 在国外地区发现的一例路由器CSRF漏洞“全家桶”，被利用的攻击playload多达20多种

下面的案例是2016年初我们的蜜罐系统捕获到一类针对路由器漏洞的扫描攻击，随后我们尝试进行溯源和影响评估，在对某邻国的部分活跃IP段进行小范围的扫描探测后，发现的路由器被暴露在外网，其中存在漏洞的路由器有30%左右被篡改了DNS设置。

抛开劫持广告流量牟利不谈，如果要对一个国家或地区的网络进行的渗透或破坏，以目前路由器的千疮百孔安全现状，无疑可以作为很适合的一个突破口，这并不是危言耸听。

如下图中漏洞路由器首选DNS被设置为劫持服务器IP，备选DNS服务器设为谷歌公共DNS(8.8.8.8)。

[37] 邻国某网段中大量存在漏洞的路由器被劫持DNS设置

[38] 各种存在漏洞的路由器被劫持DNS设置

4.神秘劫持

以一个神秘的劫持案例作为故事的结尾，在工作中曾经陆续遇到过多次神秘样本，仿佛是隐藏在层层网络中的黑暗幽灵，不知道它从哪里来，也不知道它截获的信息最终流向哪里，留给我们的只有迷一般的背影。

这批迷一样的样本已经默默存活了很久，我们捕获到早期变种可以追溯到12年左右。下面我们先把这个迷的开头补充下，这些样本绝大多数来自于某些可能被劫持的网络节点，请静静看图。

[39] 某软件升级数据包正常状态与异常状态对比

[40] 某软件升级过程中的抓包数据

我们在15年初的时候捕获到了其中一类样本的新变种，除了迷一样的传播方式，样本本身还有很多非常有意思的技术细节，限于篇幅这里只能放1张内部分享的分析截图，虽然高清但是，同样老规矩静静看图。

[41] 神秘样本技术分析简图

流量圈的故事还有很多，劫持与反劫持的故事在很长时间内还将继续演绎下去。流量是很多互联网企业赖以生存的基础，通过优秀的产品去获得用户和流量是唯一的正途，用户的信任来之不易，且行且珍惜。文章到此暂告一段落，有感兴趣的地方欢迎留言讨论。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-40015-4.html