长城宽带恶意流量劫持证据分析及防范 - 行业资讯 - 肥雀云

长城宽带使用下三滥手段劫持可执行文件下载地址,然后引导到其他站点,这个操作用心不良啊,这可以夹带恶意文件啊。,,

看看这个220.112.194.135这个ip地址归属,

,,,,

yoke@yoke:美元/etc, curl -v http://www.7-zip.org/a/7z1604.exe 　　*,,,Trying 178.62.49.34… 　　*,Connected 用www.7-zip.org (178.62.49.34), port 80年,(# 0) 　　祝辞,GET //7 z1604.exe HTTP/1.1 　　祝辞,主持人:www.7-zip.org 　　祝辞,用户代理:/7.50.1旋度　　祝辞,接受:*/* 　　在,,& lt;, HTTP/1.1, 302年发现的　　& lt;,连接:紧密　　时间,地点:& lt; http://211.162.127.22/files/61760000031424D9/www.7-zip.org/a/7z1604.exe 　　& lt;,, *, Closing connection 0

好吧,似乎位置的地址不一样了,这个7 - zip的是可以下载了,但是劫持还在,为什么说是劫持呢?下面证据可以看下,我伪造一个不存在的地址(正常情况应该是返回404不存在,如果你是用缓存或者代理服务器,那也是应该返回404的),旋度-v http://www./test.zip

使用wireshark抓包的情况:

<李>

488编号的包,是我发送http://www.bing.com/test.zip的请求包

<李>

489返回了302年发现,给的包内容是位置:http://211.162.74.233:9011/www.bing.com/c3pr90ntc0td/test.zip

<李>

490年由于发现302,我方回包给bing鳍,ACK关闭连接。

<李>

497年对方对鳍,ACK的包进行响应,发回ACK。

<李>

498我方对消方的ACK。

<李>

这500个包很特别,是晚到的真的bing的返回包,但是由于前面的原因(3 - 5步骤里),这个包认为是重传的包,已经被应用忽略了,虽然协议显示tcp、实际这个包并没有解码http、解码http后的信息是下面

,,http/1.1, 301, Moved Permanently 　　,,,地点:http://cn.bing.com/test.zip 　　,,,服务器:,microsoft iis/8.5, 　　　　,,,X-MSEdge-Ref:, Ref ,, 5 bd13bd03e4a4a62aab34684a24288f0 Ref B:, BJ1SCHEDGE0116 Ref C:, Fri Mar 10, 23:27:26 2017年,PST 　　　　,,,日期:,坐,,11,Mar 2017年,07:27:26 GMT 　　　　内容长度,,,:,0

长城宽带恶意流量劫持证据分析及防范

结论:

<李>

长城宽带的劫持是http的劫持,而且是针对特定Url模式的,比如后缀是邮政,rar, exe, apk, mp3等,有些国内的大站用的似乎是缓存或代理,而不是劫持。

<李>

劫持后看位置的地址,应该是nginx的反向代理加了缓存,只不过似乎劫持和反向代理没有配合好,也或者是反向代理技术比较烂,站点本来该缓存在ngnix上的,但是nginx没有缓存(也没有做反向配置),所以丢到http://220.112.194.135:9011/www.jsfund.cn/c3pr90ntc0td/cert.zip类似这样的地址,不会有内容返回)。

<李>

测试自己是否被劫持很简单,不用抓包了,只需使用curl - v http://www.bing.com/test.zip(这是个伪造的地址,如果你发现响应的是302年,而不是404或301年者,都是劫持,劫持一般通过重写位置也或者返回一段js让你跳转),我的dns解析没有问题,虽然也可能存在dns劫持(dns默认是UDP协议,也可走TCP、但是如果不加密都是可以劫持的)这里是http劫持(你是否注意到我抓包的界面的dns解析的ip是正确的,因为我直接查的国外的dns),那么ip没有问题,而且我的包也是发往正确的ip的,只是响应内容被替换了。

<人力资源/>