【51CTO.com專欄稿件】回顧近幾年國(guó)內(nèi)發(fā)生的各類惡意劫持事件中，莫過(guò)于通信運(yùn)營(yíng)商的流量劫持，該行為嚴(yán)重干擾到了個(gè)人和企業(yè)用戶的正常使用和運(yùn)營(yíng)。鑒于互聯(lián)網(wǎng)上已經(jīng)有大量關(guān)于此類攻擊的案例分析和闡述，為了更加有效的防御此類攻擊，本文將換一個(gè)角度思考和分析，以劫持攻擊者的立場(chǎng)，通過(guò)具體的劫持實(shí)驗(yàn)來(lái)簡(jiǎn)述過(guò)程。

目前國(guó)內(nèi)做運(yùn)營(yíng)商劫持的主要模式，即通過(guò)旁路分光設(shè)備鏡像流量，并監(jiān)聽(tīng)用戶HTTP GET上行請(qǐng)求，篡改正常返回的信息，從而實(shí)現(xiàn)隱蔽的劫持互聯(lián)網(wǎng)網(wǎng)站信息。因劫持手法種類多樣，限于篇幅，本文將只采用其中一種劫持第三方j(luò)s代碼的方式來(lái)進(jìn)行闡述。

一、劫持演示準(zhǔn)備

1、獲取互聯(lián)網(wǎng)用戶發(fā)往80端口的網(wǎng)絡(luò)數(shù)據(jù)包，無(wú)需回傳的數(shù)據(jù)包。

2、演示用戶的瀏覽器使用基數(shù)和安全程度較高的Chrome。經(jīng)過(guò)筆者測(cè)試，該演示方案對(duì)于Windows系統(tǒng) +其他瀏覽器的組合，以及移動(dòng)端iPhone和Android平臺(tái)上的默認(rèn)瀏覽器均有效。

3、注冊(cè)開(kāi)通某商網(wǎng)站聯(lián)盟賬號(hào)，系統(tǒng)會(huì)從后臺(tái)分配到一個(gè)可跳轉(zhuǎn)的url，該url會(huì)給用戶設(shè)置 cookie，同時(shí)用做系統(tǒng)后期統(tǒng)計(jì)計(jì)費(fèi)分成。

例如申請(qǐng)到的url如下：

http://u.XXX.com/union/XXXRedirect.aspx?TypeID=2&Allianceid=1234&sid=56789&OUID=abc&jumpUrl=http://www.XXX.com

紅色字體為不同的加盟賬戶被分配的不同編號(hào)，若該參數(shù)被惡意篡改，該用戶推廣獲得的收入分成將轉(zhuǎn)移。

用curl命令請(qǐng)求該鏈接，將獲得如下圖中返回包的截圖。其中紅色部分標(biāo)明了該返回包進(jìn)行了Set-Cookie計(jì)費(fèi)和跳轉(zhuǎn)操作。

二、劫持過(guò)程簡(jiǎn)述

1、 當(dāng)用戶訪問(wèn)www.XXX.com，同時(shí)劫持者旁路偵聽(tīng)到該用戶瀏覽器請(qǐng)求了某第三方j(luò)s代碼。(本文將拿Google Analytics的統(tǒng)計(jì)代碼ga.js 來(lái)舉例，完整鏈接：www.google-analytics.com/ga.js)，Referer 目標(biāo)站www.XXX.com。

2、 先于www.XXX.com的服務(wù)器返回構(gòu)造過(guò)的TCP包給用戶，同時(shí)將篡改過(guò)的ga.js代碼返回。

篡改過(guò)的ga.js代碼，詳見(jiàn)下面截圖：

3、劫持完成后用戶瀏覽器的訪問(wèn)不會(huì)有明顯的異常感知，打開(kāi)chrome的開(kāi)發(fā)者工具查看訪問(wèn)情況，如下截圖：

在用戶的主機(jī)上打開(kāi)wireshark 做抓包分析，可以看到被我方強(qiáng)制植入的統(tǒng)計(jì)Cookie已經(jīng)成功，效果如下截圖：

三、該類js劫持的特點(diǎn)

1、 該類js代碼是由第三方發(fā)布和更新，正常情況下不會(huì)有人對(duì)其返回進(jìn)行校驗(yàn)。即便用戶頻繁重復(fù)請(qǐng)求或者請(qǐng)求失敗，被劫持方不會(huì)被主動(dòng)告知。

2、 操作隱蔽且靈活，通過(guò)多種方式只需發(fā)送1k以下的數(shù)據(jù)包篡改js代碼，即可完成劫持，無(wú)需額外的服務(wù)器再做跳轉(zhuǎn)。

3、 該類js代碼在國(guó)內(nèi)中小型web站點(diǎn)甚至大型網(wǎng)站具有較高的使用率，比如本文中提到的ga.js通常用作網(wǎng)站流量統(tǒng)計(jì)實(shí)現(xiàn)。

四、排查和防御方式

1、 目前最流行的運(yùn)營(yíng)商劫持方式，即直接在用戶訪問(wèn)www.XXX.com的時(shí)候?qū)ζ湓L問(wèn)劫持，并直接302重定向跳轉(zhuǎn)到預(yù)先設(shè)定好的url鏈接上，此類方式較易被發(fā)現(xiàn)，目前國(guó)內(nèi)大多數(shù)web站點(diǎn)均開(kāi)啟了https加密策略，可以部分有效的防御此種劫持攻擊。

2、 對(duì)用戶瀏覽器側(cè)的js代碼進(jìn)行校驗(yàn)，并對(duì)CDN節(jié)點(diǎn)上的緩存內(nèi)容做定時(shí)輪訓(xùn)匹配對(duì)比，判斷是否被篡改。監(jiān)控用戶真實(shí)得到的web源代碼，觀察是否被非法注入或者強(qiáng)制跳轉(zhuǎn)等等。

3、 因該類劫持攻擊需要在真實(shí)服務(wù)器返回的TCP包到達(dá)前，就將偽造包發(fā)到用戶瀏覽器，否則將失去效果。因此排查此類攻擊方式應(yīng)遵從，優(yōu)先從用戶側(cè)排查，也可采用判斷TTL不同返回值來(lái)做劫持層定位。

4、 通信運(yùn)營(yíng)商應(yīng)該加強(qiáng)自身內(nèi)部人員和設(shè)備管理，并在節(jié)點(diǎn)配置部署URPF策略，將偽造IP頭的包全部丟棄。比如，排查在關(guān)鍵回寫(xiě)植入點(diǎn)的路由器上的ACL規(guī)則，拒絕放行特殊格式或者特征的回寫(xiě)包。

【本文是51CTO專欄機(jī)構(gòu)作者“數(shù)字觀星技術(shù)組”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】