什么是链路层劫持?如何有效防范链路劫持?

一、什么是链路层劫持

链路控制协议着重于对分段成物理块或包的数据的逻辑传输，块或包由起始标志引导并由终止标志结束也称为帧，帧是每个控制、每个响应以及用协议传输的所有信息的多媒体的工具，所有面向比特的数据链路控制协议均采用统一的帧格式，不论是数据还是单独的控制信息均以帧为单位传送。(3)链路管理器层：链路管理器主要对与物理信道、逻辑传输和逻辑连接上所传输的相关数据载荷进行编码和解码。流量控制与可靠传输机制 1. 流量控制、可靠传输与滑动窗口机制 2. 单帧滑动窗口与停-协议 3. 多帧滑动窗口与后退n帧协议(gbn) 4. 多帧滑动窗口与选择重传协议(gbn) 注意：三种不同arq协议之间的对比，发送方和接收方窗口大小的计算，窗口的滑动过程。

通过“后门”，黑客可以控制用户的电脑输入，如果用户操作银行账号、炒股账号时，黑客会窃取帐号密码信息，并借此转走账户中的资金，给用户带来巨大损失。”金山毒霸安全专家指出，“目前我们发现已经有黑客利用这种新型钓鱼方式窃取google用户帐号和密码，造成用户隐私泄露。盗号程序是为了窃取用户帐号密码数据而进行arp欺骗，同时又会影响的其他电脑上网。

二、链路劫持案例分析

以下引用红黑联盟站内发布的案例分析，说明链路劫持的现象和判断。

案例现象描述：

第十三条高速公路因自然灾害等原因，致使路面及其设施严重受损时，交通行政管理部门必须及时采取紧急措施组织抢修，当地人民政府应当组织力量协助抢修和清除路障。在执行该计划的过程中，经常要检查实际进度是否按计划要求进行，若出现偏差，便要及时找出原因，在规定的时间内，拟定出合理且经济的进度计划(包括多级管理的子计划)，采取必要的补救措施或调整、修改原计划，直至项目完成。活动期间，每位用户有2次免费开启红包的机会，红包奖品有90g天翼视讯定向流量（30g*3个月）和翼支付红包，免费开启红包机会用完后，用户每使用500m天翼视讯定向流量可获取一次开启红包机会，每天最多可获取2次机会。

(图一)

案例问题追踪：

通过分析抓取的样本数据发现，数据包在传输过程中出现异常TTL，目标机的正常TTL为51如图2。

(图二)

这里出现异常TTL值116和114，并且两个包的ID(Identification)值相同，均为25576，如图3和图4，明显是伪造的包。

(图三)

(图四)

另外服务器banner信息也发现了异常情况，公司提供的Server是Tengine的，网站编写语言是Asp.Net的，在响应头中应该能看到，而异常响应头部无此信息，如图5所示：

(图五)

首先主机b向主机a发送一个arp应答包说192，让所有上网的流量必须经过arp攻击者控制的主机，然后目标ip的所有者会以一个含有ip和mac地址对的数据包应答请求主机，直到通信停止后2分钟，这个对应关系才会从表中被删除，如果没有就通过arp请求获得您当前的网络存在链路层劫持，如果有就直接与网关通信，然后再由网关c通过路由将数据包送到网关e.1。4）木马通讯方式特别，木马将数据封装成固定包头的dns协议包，发送到大型网站来实现数据传输，此方法可以绕过几乎全部的防火墙，但是黑客要截取这些数据，必须在数据包的必经之路上进行嗅探拦截，结合木马的感染方式，可以推测出在受害者网络链路上存在劫持。1、aggregators(汇聚器) memsql集群的一种节点，为访问memsql集群的网关，一个集群中可以有多个汇聚器，汇聚器主要负责向叶子节点发送dml请求、汇聚操作结果并返回给客户端。

三、链路层劫持的防御

从链路层劫持的原理来看，我们发现核心的问题是：客户端没有办法识别返回的应答是否真的是服务器返回的，还是第三方返回的，所以简单的信任了第三方的应答，丢弃了真正的应答。所以只要对服务器本身进行身份验证，就可以防止客户端“误接受”恶意应答。

HTTPS技术就是为此种场景而生，通过一个权威CA机构(如：沃通CA)，验证服务器真实身份后，给服务器颁发证明合法身份的证书，用户的浏览器通过检查证书的合法性，来辨别服务器的真假，该证书如同服务器，第三方无法伪造，确保客户端访问的网站是经过CA认证的可信网站。此外，HTTPS协议下传输数据会进行高强度加密，可以防止第三方、窃取或篡改数据，而HTTP协议是明文传输，随便一抓包就能看到明文数据。因此，HTTPS网站能有效防御链路层劫持。

四、选择可靠的HTTPS证书

并非所有的HTTPS证书都能有效防御链路劫持，SSL证书是用于证明服务器身份的合法证书，因此SSL证书颁发机构的合法性直接决定了SSL证书的合法性。比如：采用开源工具自己签发的自签名SSL证书，就不是合法的SSL证书，任何人都可以随意签发，没有第三方监督审核您当前的网络存在链路层劫持，不受浏览器信任，常被黑客用于伪造证书进行中间人攻击。不仅无法保护链路安全，反倒给黑客开了方便之门。

沃通CA是权威可信的数字证书颁发机构，通过严格的WebTrust国际认证和工信部许可，并通过了微软认证、Mozilla 认证、Android 认证、苹果认证和Adobe认证，根证书预置到全球操作系统、浏览器和移动终端中。因此，沃通CA签发的SSL证书能完美兼容1999年以后的所有浏览器、服务器以及主流移动设备，有效防范目前常见的数据泄露、流量劫持和钓鱼欺诈等安全事件。

据物联网统计，2015年一年百货已关店114家，其中包括玛莎百货、百盛百货、远东百货、王府井等众多知名百货。统计发现，新三板市场上约有140多家影视类公司，包括嘉行传媒、开心麻花、和力辰光等多家知名公司。当当数字业务部总经理左力对乘客的这种猜测并不惊讶，当当通过对“当当阅读”app的读者阅读习惯研究发现，用户的阅读时段主要集中在早8点、中午12点、晚8点后这3个区域，“早8点通常就是人们在上班路上的时间段，这恰好可以说明地铁阅读目前的普及”。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-111866-1.html