链路层劫持_链路劫持和dns劫持_链路层协议

链路劫持属于流量劫持攻击的一种，在电商领域较为常见，网络上也有不少案例。本文作者将会结合公司实际发生的案例来简要剖析链路劫持有关技术。由于作者水平有限，见解浅显在所难免，望大牛勿喷，如有描述不当之处望各路看官批评指正。

0x01 劫持案例分析案例现象描述：

有用户反馈访问公司部分业务的URL时被重定向至公司其他业务的URL，导致用户无法请求所需的服务，严重影响了用户体验以及用户利益。我们第一时间通过远控的方式复现了上述现象，并及时抓取了相关数据包以供分析，当然前期也采取了用户电脑杀毒、开发者工具分析等方式排除了用户端个人原因的可能性。从图1来看，初步判断是运营商某员工所为，意欲通过流量重定向来获取非法的流量分成，啥意思呢，被劫持的该业务的流量要经过联盟的该账户spm，使得公司再付费给联盟，归根结底还是为了盈利。

案例问题追踪：

通过分析抓取的样本数据发现，数据包在传输过程中出现异常TTL，目标机的正常TTL为51如图2。

这里出现异常TTL值116和114，并且两个包的ID（Identification）值相同，均为25576，如图3和图4，明显是伪造的包。

另外服务器banner信息也发现了异常情况，公司提供的Server是Tengine的，网站编写语言是Asp.Net的，在响应头中应该能看到，而异常响应头部无此信息，如图5所示：

综上判断，中间链路发生了劫持。劫持者应该是利用在运营商内部的便利条件，在网关路由器上添加嗅探程序，嗅探明文HTTP请求数据包，拿到要劫持的数据包之后，马上给请求者返回HTTP response（302 到其他 url），导致用户无法访问正常URL。

劫持意图分析：

通过tcp流跟踪，发现劫持行为指向了一个spm=s-32528773787910-pe-f-801.psy_**2的联盟账户，如图6、图7所示，目的在于通过付费流量来获取利润，这也验证了刚开始的初步判断。

spm可以理解为跟踪引导成交效果数据的解决方案，可以用来评估某一个站点上某一频道的访问和点击效果，以及后续引导和成交情况。

劫持影响：

用户无常访问所需业务，且致公司流量及利益损失。

解决措施：

简单粗暴的应对措施：封账号，相关部门投诉，当然投诉的效果不能抱太大希望。

链路劫持其他案例京东：唯品会：：新浪：WooYun: 新浪博客疑似被流量劫持攻击Github（目标和某墙仓库） "> WooYun: 新浪博客疑似被流量劫持攻击Github（目标和某墙仓库） 搜狐：WooYun: 搜狐视频疑似流量劫持攻击Github "> WooYun: 搜狐视频疑似流量劫持攻击Github 百度：（需翻墙）0x02 链路劫持概述

链路层劫持是指第三方（可能是运营商、黑客）通过在用户至服务器之间，植入恶意设备或者控制网络设备的手段，侦听或篡改用户和服务器之间的数据，达到窃取用户重要数据（包括用户密码，用户身份数据等等）的目的。链路层劫持最明显的危害就是帐号、密码被窃取。最常见的就是某些设备实现的对非法站点的访问拦截，以及一些地区运营商的网页植入广告行为。

链路劫持的原理就是运营商（也可能是黑客）在用户访问网站的时候进行，获取用户访问的目的ip后，然后以这个ip为source-ip冒充网站给用户响应，通常响应中会插入一段JS代码，这段代码可能会让用户去get一些非真实网站资源，最终可能造成真实页面入广告，被蒙层，甚至整页面被替换，严重影响用户体验以及企业形象。由于链路劫持可能通常发生在last-mile，而last-mile被运营商牢牢控住，所以这对监测以及解决问题带来了巨大的挑战。劫持原理大概如图8所示。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-22984-1.html