流量劫持攻击之链路劫持剖析

       

　　1 劫持案例分析

　　案例现象描述：

　　有用户反馈访问公司部分业务的URL时被重定向至公司其他业务的URL，导致用户无法请求所需的服务，严重影响了用户体验以及用户利益。我们第一时间通过远控的方式复现了上述现象，并及时抓取了相关数据包以供分析，当然前期也采取了用户电脑杀毒、开发者工具分析等方式排除了用户端个人原因的可能性。从图1来看，初步判断是运营商某员工所为，意欲通过流量重定向来获取非法的流量分成，啥意思呢，被劫持的该业务的流量要经过联盟的该账户spm，使得公司再付费给联盟，归根结底还是为了盈利。

        

　　图1

　　案例问题追踪：

　　通过分析抓取的样本数据发现，数据包在传输过程中出现异常TTL，目标机的正常TTL为51如图2。

      

　　图2

　　这里出现异常TTL值116和114，并且两个包的ID(Identification)值相同，均为25576，如图3和图4，明显是伪造的包。

      

　　图3

       

　　图4

　　另外服务器banner信息也发现了异常情况，公司提供的Server是Tengine的，网站编写语言是Asp.Net的，在响应头中应该能看到，而异常响应头部无此信息，如图5所示：

       

　　图5

　　综上判断，中间链路发生了劫持。劫持者应该是利用在运营商内部的便利条件，在网关路由器上添加嗅探程序，嗅探明文HTTP请求数据包，拿到要劫持的数据包之后，马上给请求者返回HTTP response(302 到其他 url)，导致用户无法访问正常URL。

　　劫持意图分析：

　　通过tcp流跟踪，发现劫持行为指向了一个spm=s-32528773787910-pe-f-801.psy_**2的联盟账户，如图6、图7所示，目的在于通过付费流量来获取利润，这也验证了刚开始的初步判断。

　　spm可以理解为跟踪引导成交效果数据的解决方案，可以用来评估某一个站点上某一频道的访问和点击效果，以及后续引导和成交情况。

      

　　劫持影响：

　　用户无法正常访问所需业务，且致公司流量及利益损失。

　　解决措施：

　　简单粗暴的应对措施：封账号，相关部门投诉，当然投诉的效果不能抱太大希望。

　　链路劫持其他案例

　　京东：http://www.freebuf.com/vuls/62561.html

　　唯品会：http://www.jianshu.com/p/0397a89057a9

　　Github：http://www.360doc.com/content/16/0208/02/6427260_533236263.shtml

　　新浪：WooYun: 新浪博客疑似被流量劫持攻击Github(目标纽约时报和某墙仓库) ">WooYun: 新浪博客疑似被流量劫持攻击Github(目标纽约时报和某墙仓库)

　　搜狐：WooYun: 搜狐视频疑似流量劫持攻击Github "> WooYun: 搜狐视频疑似流量劫持攻击Github

　　百度：http://cn.nytimes.com/china/20150331/c31hack/(需翻墙)

[1] [2] 下一页

原文地址:https://hack.77169.com/201603/225191.shtm