流量劫持攻击之链路劫持剖析
1 劫持案例分析
案例现象描述:
有用户反馈访问公司部分业务的URL时被重定向至公司其他业务的URL,导致用户无法请求所需的服务,严重影响了用户体验以及用户利益。我们第一时间通过远控的方式复现了上述现象,并及时抓取了相关数据包以供分析,当然前期也采取了用户电脑杀毒、开发者工具分析等方式排除了用户端个人原因的可能性。从图1来看,初步判断是运营商某员工所为,意欲通过流量重定向来获取非法的流量分成,啥意思呢,被劫持的该业务的流量要经过联盟的该账户spm,使得公司再付费给联盟,归根结底还是为了盈利。
图1
案例问题追踪:
通过分析抓取的样本数据发现,数据包在传输过程中出现异常TTL,目标机的正常TTL为51如图2。
图2
这里出现异常TTL值116和114,并且两个包的ID(Identification)值相同,均为25576,如图3和图4,明显是伪造的包。
图3
图4
另外服务器banner信息也发现了异常情况,公司提供的Server是Tengine的,网站编写语言是Asp.Net的,在响应头中应该能看到,而异常响应头部无此信息,如图5所示:
图5
综上判断,中间链路发生了劫持。劫持者应该是利用在运营商内部的便利条件,在网关路由器上添加嗅探程序,嗅探明文HTTP请求数据包,拿到要劫持的数据包之后,马上给请求者返回HTTP response(302 到其他 url),导致用户无法访问正常URL。
劫持意图分析:
通过tcp流跟踪,发现劫持行为指向了一个spm=s-32528773787910-pe-f-801.psy_**2的联盟账户,如图6、图7所示,目的在于通过付费流量来获取利润,这也验证了刚开始的初步判断。
spm可以理解为跟踪引导成交效果数据的解决方案,可以用来评估某一个站点上某一频道的访问和点击效果,以及后续引导和成交情况。
劫持影响:
用户无法正常访问所需业务,且致公司流量及利益损失。
解决措施:
简单粗暴的应对措施:封账号,相关部门投诉,当然投诉的效果不能抱太大希望。
链路劫持其他案例
京东:http://www.freebuf.com/vuls/62561.html
唯品会:http://www.jianshu.com/p/0397a89057a9
Github:http://www.360doc.com/content/16/0208/02/6427260_533236263.shtml
新浪:WooYun: 新浪博客疑似被流量劫持攻击Github(目标纽约时报和某墙仓库) ">WooYun: 新浪博客疑似被流量劫持攻击Github(目标纽约时报和某墙仓库)
搜狐:WooYun: 搜狐视频疑似流量劫持攻击Github "> WooYun: 搜狐视频疑似流量劫持攻击Github
百度:http://cn.nytimes.com/china/20150331/c31hack/(需翻墙)