隨著應(yīng)用安全的發(fā)展，大家都比較關(guān)注應(yīng)用安全漏洞，其實(shí)在應(yīng)用層之下的傳輸層也有很多安全風(fēng)險(xiǎn)，而且這些安全風(fēng)險(xiǎn)正在被廣泛利用。比如今天要給大家介紹的TCP鏈路劫持攻擊。

TCP鏈路劫持其實(shí)就是指網(wǎng)絡(luò)鏈路上偵聽、偽造TCP包，達(dá)到控制目標(biāo)網(wǎng)絡(luò)鏈路的行為。最常見的就是某些設(shè)備實(shí)現(xiàn)的對(duì)非法站點(diǎn)的訪問(wèn)攔截，以及一些地區(qū)運(yùn)營(yíng)商的網(wǎng)頁(yè)植入廣告行為。

因?yàn)閺V域網(wǎng)的鏈路劫持影響面大，一般會(huì)影響一個(gè)地區(qū)甚至是全國(guó)，所以本文重點(diǎn)討論廣域網(wǎng)的TCP鏈路劫持，局域網(wǎng)的劫持如ARP攻擊不在討論范圍。

目前發(fā)現(xiàn)的TCP鏈路劫持攻擊一般有兩種形式：中斷訪問(wèn)型（分為單向發(fā)包和雙向發(fā)包）和替換頁(yè)面型。

中斷訪問(wèn)型常見于阻止用戶訪問(wèn)某些網(wǎng)站，如某些設(shè)備禁止用戶訪問(wèn)某些站點(diǎn)、某地運(yùn)營(yíng)商的禁止ADSL多終端上網(wǎng)功能。其原理就是偽造服務(wù)端給用戶發(fā)RST包阻止TCP連接的建立（單向發(fā)包）。某些設(shè)備做得比較狠，在冒充服務(wù)端給用戶發(fā)RST包的同時(shí)也冒充用戶給服務(wù)端發(fā)RST包（雙向發(fā)包）。

替換頁(yè)面型常見于運(yùn)營(yíng)商植入廣告，也有篡改正常網(wǎng)頁(yè)進(jìn)行SEO、騙流量的。筆者見過(guò)最惡劣的莫過(guò)于釣魚，如2011年出現(xiàn)過(guò)的Gmail釣魚事件以及一些不能告訴你的釣魚事件。原理也簡(jiǎn)單，就是在一個(gè)HTTP請(qǐng)求后偽造服務(wù)端的HTTP響應(yīng)給客戶端。

如下圖所示就是一次典型的TCP鏈路劫持替換頁(yè)面，我們可以看到，TCP三次握手完成后，HTTP請(qǐng)求包發(fā)送后，客戶端收到兩個(gè)HTTP響應(yīng)包，因?yàn)閭卧斓牡谝粋€(gè)包（10號(hào)）先到，所以第二個(gè)正常的HTTP響應(yīng)包（13號(hào)）被客戶端忽略了。很明顯，在網(wǎng)絡(luò)上有一個(gè)設(shè)備，偵聽整個(gè)會(huì)話，當(dāng)匹配某個(gè)特征就搶先發(fā)包劫持會(huì)話。

這些利用鏈路劫持進(jìn)行的彈窗廣告、“技術(shù)問(wèn)題”產(chǎn)生的誤攔截、植入代碼不慎將頁(yè)面弄亂、甚至是釣魚等將會(huì)損害用戶利益。筆者跟鏈路劫持的“不解之緣”就因此而起。

要解決鏈路劫持先要搞清楚是否是鏈路劫持，如是則出問(wèn)題的大概位置在哪里。鏈路劫持是區(qū)域性的，一般來(lái)講某地區(qū)用戶集中投訴，就可以聯(lián)系用戶調(diào)查了。用戶往往不懂Wireshark抓包，還要遠(yuǎn)程協(xié)助，如果網(wǎng)速慢就是悲劇……各種心酸且按下不表。

抓到可疑包之后關(guān)注兩個(gè)關(guān)鍵點(diǎn)：TTL值和IP Id（Identification）。根據(jù)實(shí)際觀測(cè)，偽造的TCP包的TTL值和Id是不符合邏輯的。

比如下圖，真實(shí)包的TTL是53，Id是按順序自增的，而偽造的包的TTL是64，Id始終是0。還有，筆者也見過(guò)某地運(yùn)營(yíng)商禁止ADSL多終端上網(wǎng)功能會(huì)偽造Id值恒為8888的RST包。

通過(guò)偽造的TTL值就可以大致定位偵聽設(shè)備的位置。利用偽造的數(shù)據(jù)包的TTL值加上當(dāng)時(shí)用戶的路由即可定位：數(shù)據(jù)包每經(jīng)過(guò)一個(gè)路由TTL值就會(huì)減一，我們找到假的包，看他的TTL（一般初始發(fā)出的TTL是256或128或64）減了多少，反推回去就找到出問(wèn)題的位置了。

剛剛那個(gè)截圖，偽造的的TCP包TTL值是64，也就是可以推測(cè)出鏈路劫持就發(fā)生在局域網(wǎng)內(nèi)。的確如此，這個(gè)case是一個(gè)路由器軟件進(jìn)行鏈路劫持的案例。

有個(gè)問(wèn)題，如果攻擊者聰明一些，偽造包定制一個(gè)TTL值，就會(huì)導(dǎo)致我們難以精確定位。比如某些設(shè)備會(huì)發(fā)三次RST包，每次的TTL都不一樣。注意，我說(shuō)的“難以定位”并非“不能定位”，還是有辦法的，需要?jiǎng)觿?dòng)腦子。

壞人是很多的，不能每次都被動(dòng)等待用戶投訴，如何主動(dòng)發(fā)現(xiàn)鏈路劫持呢？

客戶端訪問(wèn)目標(biāo)站點(diǎn)的時(shí)候，同一個(gè)TCP會(huì)話的TTL值發(fā)生較大變動(dòng)，就可以判定為疑似劫持。以下python代碼就是一個(gè)利用Scapy檢測(cè)TCP鏈路劫持的示例：

#!/bin/python

#

#

import sys

from scapy.all import *

conf.verb=0

print “TCP Hijacking Delector by lake2″

print “[+] Sniffing ….”

ip_arr = {}

while 1:

a=sniff( filter=”tcp and src host not 10.26.234.44″, count=50)

for b in a:

ip_src = b.sprintf(r”%IP.src%”)

ip_ttl = b.sprintf(r”%IP.ttl%”)

if ip_arr.has_key(ip_src):

c = int(ip_ttl) – int(ip_arr[ip_src])

if abs(c) > 4:

print ip_src + ” has been hijacking !!!   debug info : ” + str(ip_ttl) + “  <-> ” + str(ip_arr[ip_src])

else:

ip_arr[ip_src] = ip_ttl

print “=>”

檢測(cè)到某些設(shè)備攔截筆者在Google搜索敏感關(guān)鍵字的鏈路劫持：

雙向RST的情況，部署在機(jī)房的IDS也可以發(fā)現(xiàn)端倪。

如果是替換頁(yè)面型攻擊，頁(yè)面hash或者HTML元素個(gè)數(shù)會(huì)有異常，這里也可以作為一個(gè)檢測(cè)點(diǎn)。

防范鏈路劫持就比較困難，畢竟攻擊者控制著網(wǎng)絡(luò)鏈路。不過(guò)并非不可能。

一是網(wǎng)站全程使用SSL。

再一個(gè)就是在客戶端或（和）服務(wù)器丟棄偽造的TCP包。比如前面說(shuō)到的單向中斷訪問(wèn)型攻擊，就可以丟棄包含偽造特征的TCP包（如Id為0或8888）。某些項(xiàng)目就是利用客戶端、服務(wù)端同時(shí)丟棄的方式來(lái)翻墻的。

最后，我們可以看到廣域網(wǎng)一點(diǎn)都不安全，所以敏感信息傳輸一定要加密，還要高強(qiáng)度加密；高端網(wǎng)頁(yè)最好有個(gè)校驗(yàn)機(jī)制；自動(dòng)升級(jí)的程序也一定要校驗(yàn)文件簽名。