针对某电商网站流量劫持案例分析与思考

来源:本网整理

流量劫持有多种方法,其中一种是DNS劫持。DNS是负责域名解析的服务器,举一个例子,我们访问百度输入

自腾讯与京东建立了战略合作关系之后,笔者网上购物就首选京东了。某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东,心里第一个反应就是中木马了 前言

自腾讯与京东建立了战略合作关系之后,笔者网上购物就首选京东了。某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东,心里第一个反应就是中木马了。

应该属于流量劫持。这种情况是,直接输入网址访问是正常的,只有通过搜索引擎搜索会出现页面跳转的情况

竟然有这样的事,一定要把木马大卸八块。

流量劫持,就是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用

原因排查

首先你得找出劫持你的恶意软件然后删除它,就把电话root 就好找,要不你就把电话恢复出厂可以,里边你

首先在重现的情况下抓包,京东官网确实返回了一段JavaScript让浏览器跳转到了yiqifa.com。

如果是电信推送的,是可以找电信客服要求屏蔽的,但这种并不叫流量劫持。流量劫持一般有三种形式:

下图是应用层的抓包。

华为不缺钱,也不圈钱,华为目的也不是奔着上市去的。咱们来看华为的老对手思科,思科目前的市值是1600亿美刀,就目前来看华为今年上市的话市值不会低于2000亿美刀,毕竟华为除了通讯方面积累,终端方面也发展起来了,手机的出货量全球也可以排个第三名了,最新发布的集成了NPU的麒麟970处理器平台影响力也足够强。虽然华为可能还没有到达苹果的8000亿美刀的市值,但是未来华为的手机全球出货量起来了,以及5G网络的发展、还有麒麟海思970前瞻性的加入NPU,未来超越苹果或者打成平手都不是不可能的事。再来看看我们国内的巨头阿里巴巴,市值也才4000亿美刀嘛。而马云还老是说我后悔创建了阿里巴巴,我后悔上市了…

1

服务器返回的代码导致跳转,基本可以排除本地木马,推测是网络或者服务器的问题。根据笔者的经验,这种情况很大可能是链路上的流量劫持攻击。当然也不能排除京东服务器被黑的情况。

一则老段子曾很受欢迎。“中国人:是女娲创造了这个世界。美国人:是上帝创造了这个世界。中国人:那么,又是谁创造了上帝之前的世界?美国人:那么,又是谁创造了女娲之前的世界?韩国人惊奇的问道:不是我们韩国人吗?”韩国人的主体史观屡次被中国网友嘲笑,网络上“中国XX实则韩国制造”模式的消息不绝于耳:屈原、孔子、西施、李时珍统统都有韩国血统,饺子、粽子、印刷术也早就打上韩国烙印。令人啼笑皆非的报道总能吸引眼球,挑起网民的厌韩情绪:韩国人,请停下盗走中国文化的手!那些年被韩国“抢过”的东西食品类:饺子、豆浆、元宵、粽子名人类:炎帝、黄帝、屈原、孔子、西施、李时珍、李白、孙中山发明类:浑天仪、活字印刷术文化

继续排查。应用层已经不行了,我们要用Wireshark抓网络层的包。

在人民币收藏中,豹子号一直是广为藏友关注的一种类型,而其叫法可以说是由一种游戏起因的,在西南地区及叫做“诈金花”,北方地区叫做“拖拉机”的扑克牌游戏,是指发到一位玩家手里的3张牌为同一数字号的牌型,概率很小,但由于大于同花顺等其他牌型,所以“豹子号人民币”是每位玩家梦寐以求的牌型,显得珍贵。因而3个连起来的一样的数字.比如:666、999、888这些就是豹子6、豹子9、豹子8豹子号。而最厉害的是8同号的极品豹子号,每一张纸钞都有它自身的特殊性,那就是号码唯一,没有任何两张纸币具有相同的号码(无号码分币除外),所谓特殊号码实际是人们凭自己的喜爱和公众认可度较高的一些字冠和数字组合。比如豹子号,生

2

从Wireshark结果可以看到,网络上出现了两个京东的HTTP响应。第一个先到,所以浏览器执行里面的JavaScript代码转到了yiqifa.com;第二个HTTP响应由于晚到,被系统忽略(Wireshark识别为out-of-order)。

1、对于衡水中学的学生来说,高考是阶层上升的唯一途径。只有高考不是唯一上升渠道的人,才可以有质疑这个教育模式的权利。我的朋友一家在上海,收入颇丰。他们考虑怎么对孩子进行素质教育,快乐教育,怎么培养孩子的兴趣爱好。他们的孩子从小上着双语学校,寒暑假去国外夏令营。这样的家庭,拥有可以选择的权利,国内高考不适合自己的孩子,那就送出国读书。读书不好,可以投入大笔资金创业。再假设一个农村或者山区的孩子,再或者衡水中学的普通孩子,他们想要在大城市立足,有一份体面的工作,他们别无选择,只有高考一条路。他们创业,家里不能提供启动资金,父母没有用的上的社会关系。他们高考分数不够,没有其他能接受高等教育的方法。有

两个京东的HTTP响应包,必然一真一假。快揭示真相了。

再来看看两个HTTP响应的IP头。

第一个包TTL值是252,第二个包TTL值是56,而之前TCP三次握手时京东服务器的TTL值是56,故可以判断先到的包是伪造的,真的包晚到而被系统忽略。

3

至此,确认是链路上的劫持。

攻击方式

继续分析伪造的数据包。

伪造包的TTL值是252,也就是说它的原始TTL值应该是255(大于252的系统默认TTL值只能是255了,一般不会修改),也就表明攻击者的设备离我隔了3个路由;而正常的京东网站的HTTP响应TTL值是56,隔了8个路由。物理上假的设备离我近,所以伪造的HTTP响应会先到——比较有意思的是,笔者实际监测时候发现也有伪造包晚到导致劫持失败的情况。

推测是一个旁路设备侦听所有的数据包,发现请求京东首页的HTTP请求就立即返回一个定制好的HTTP响应。大致的攻击示意图如下。

4

当时笔者推测攻击者在链路上大动干戈应该不会只针对一个网站,于是就访问了下易迅、淘宝、天猫这些电商网站,结果发现易迅也受到同样的攻击。看起来这次流量劫持的目的是将电商网站流量导给返利联盟,通过返利联盟获得当前用户成交金额的返利。

基本确认运营商有问题,但是无法确认是运营商官方故意的还是遭到黑客攻击或者是内部人士偷偷搞的。

攻击源定位

来看看当时的路由结果:

5

如果按初始TTL值为255来算,HTTP包到达本机后为252,推算出经过了3(255-252)个路由,出问题的地方就在第4个路由附近,也就是这里的119.145.220.86(属于深圳电信)。

当然了,虽然基本可以确认是第四个路由附近的问题(笔者连续几天抓包,伪造的HTTP响应包TTL值一直是252),但是不排除设备故意构造一个初始TTL值(比如设置为254)来增加追查难度,为了严谨的治学态度及避免被攻击者迷惑,所以证据要坐实了。

定位比较简单,既然攻击设备是旁路侦听数据包,可以推测它是基于包而非状态的,我们构造被侦听的数据包(也就是直接发出访问京东首页的HTTP请求TCP包,不需要三次握手)多次发送,TTL值从1开始递增,精确地传递数据包到每一个路径上,直到出现伪造响应——没有问题的位置是不会有响应的,第一个出现伪造响应的位置就是出问题的位置。

这个时候就需要一个数据包构造工具了,基于Python的Scapy或者Windows下的XCAP都行。

于是一路发过去,TTL值等于4的时候伪造的响应包出现了——确认就是第四跳路由出问题了,同时119.145.55.14回复了Time-to-live Exceeded的ICMP包。

有了充分证据,于是整理了一个图文并茂的文档通过腾讯安全应急响应中心向深圳电信报障。

一天后得到运营商答复:“经核查,深圳本地没有进行推送,经网上查询有木马或病毒会导致此现象,非电信网内问题,请进行杀毒后再测试,谢谢”。

不过从当天晚上起,我再在ADSL环境测试,就没有发现这种流量劫持现象了。

攻防之道

链路劫持对企业和用户都是很麻烦的,影响用户体验,还泄漏敏感信息,而且还是分地域的,检测和防御起来也相对困难。 

链路劫持已经被某些人运用的炉火纯青。比如近期业界发现部分区域的百度联盟广告脚本被植入恶意JavaScript去DDoS攻击GitHub。

腾讯历史上也遇到过多起链路劫持攻击,目的性很强,大部分是插广告(少部分是钓鱼和挂马),攻击手法各种各样,有运营商的区域DNS劫持和链路劫持、运营商区域DNS Server遭到缓存投毒攻击(利用CVE-2007-2926,非常经典)、开发商在路由软件中植入劫持代码、CDN与源通信遭到ARP攻击、用户PC本地木马。当然,这些目前都已经解决了,也在持续监测中。   

为了对抗链路劫持,很多腾讯业务也都使用了HTTPS或者私有协议,比如QQ Web登录、QQ邮箱、理财通、Web微信、微信公众平台等。

DNS劫持攻击相对容易检测和防护。

检测方面,用分布的点去进行DNS查询即可,发现运营商DNS结果不对就可以推动修复。

防护方面,一种方案是使用DNSSEC(DNS Security Extensions);腾讯、114DNS还研发了自己的方案——HttpDNS。HttpDNS不使用DNS协议而是通过HTTP协议从HttpDNS后端服务器获取域名对应的IP。当然,类似的思路我们可以实现一堆了:HTTPSDNS、TCPDNS、UDPDNS、ICMPDNS……

7

链路劫持相对复杂。    

检测方面,如有客户端,可以依靠客户端进行检测;如果没有客户端,就具体情况具体分析了,可以在网页里用JavaScript检测页面元素,甚至可以在全国重要城市租用ADSL探测。

另外,在机房的流量监控设备里会发现异常:比如这个案例就会出现用户接收了HTTP响应后没有回应,然后URL中又带了yiqifa.com的关键字重新访问主页的情况;再比如某些设备的HTTP阻断会向服务器发特定的RST包(我见过发IP Id为8888的案例)。

防护方面,这个案例只是伪造数据包,并没有实施阻断,所以只要客户端的安全软件把疑似出问题的包(一次TCP会话中TTL值相差很大或者IPId突然跳变)拦截就可以防御。为了避免误杀,可以拦截并休眠1秒,如果没有同样的数据包过来再放行。

有自己客户端的可以走自己的私有协议,网站类就困难一些,部署HTTPS吧。百度主页近期就使用了HTTPS,不过大部分用户还是不习惯在浏览器里输“https://”,所以还是存在被劫持的风险(类似的工具有SSLStrip)。当然了,对抗也会随之升级的,比如这次发现的GMail证书伪造事件。    

在HTTPS尚不能大规模普及的情况下,是否可以给用户或者终端软件提供一个规避链路劫持的安全服务呢?似乎是可以的。下图是笔者构想的一个简单的通过本地代理软件加云服务的方式规避不安全ADSL链路的解决方案。

8

一些浏览器的云加速也客观上实现了这个功能。对于安全性不确定的公共WiFi,也可以用类似的方法来规避风险。

后记

希望本文对你有帮助。

扩展阅读,根据您访问的内容系统为您准备了以下内容,希望对您有帮助。

电商平台是怎么做起来的?求分析案例。

想要把电商平台做好,活动分析其实是非常重要的一部分。

比如淘宝店去年的销售额是50个亿,仅双十一单个活动销售额就达到了8亿。所以他们对于活动有严格的计划表,于是我们会把活动单独列一个主题进行分析。他们在活动前期策划的时候,历史数据能够指导他做出比较好的决策。

而在活动进行中,可以通过数据监控整体的流量变化、销售情况变化。比如这次活动的某几个页面跳出率高,我通过数据发现之后,就要作出相应的调整优化,提高从流量到销量的转化率。

或者说,活动过程中发现爆款商品的库存已经无法满足现状了,我需要考虑是否要把原来7天的发货期改为15天,还是说我可以推其他的产品。这些都可以凭借数据来提供决策的依据。

活动复盘环节,从整体上我可以知道活动投入和产出的金额,衡量这次活动的价值,从细节上,可以看到不同商品的销售情况,还可以分析这次活动中哪些环节是可以做得更好的。比如这次活动中,因为一些优惠券的规则设置不合理,导致大量退货,那在下次活动就要避免这样的失误。

运营商怎么做电商流量劫持?

流量劫持是灰色项目,说实话不建议操作。一般运营商都是内部人士私底下做的,把网站的JS代码更换成客户的代码,这样浏览者就能看到客户的广告,而不是原来的那张图片和链接。这种广告不能监控,即时做了这种广告,作为广告主的你也看不到广告,最多就是看到截图,根本就不知道是否投放了广告。所以这种劫持流量很多都是假的,建议找些正规的流量平台,至少也要像风车广告这样子的。本回答被网友采纳

什么是流量劫持,如何防止流量劫持

流量劫持,是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形。

流量劫持是一种古老的攻击方式,比如早已见惯的广告弹窗(如下图)等,很多人已经对此麻木,并认为流量劫持不会造成什么损失。而事实上,流量劫持可以通过多种你无法觉察的方式窃取信息!

互联网上发生的流量劫持基本是两种手段来实现的:

域名劫持:通过劫持掉域名的DNS解析结果,将HTTP请求劫持到特定IP上,使得客户端和攻击者的服务器建立TCP连接,而不是和目标服务器直接连接,这样攻击者可以对内容进行窃取或篡改。在极端的情况下甚至攻击者可能伪造目标网站页面进行钓鱼攻击。

直接流量修改:在数据通路上对页面进行固定的内容插入,比如广告弹窗等。在这种情况下,虽然客户端和服务器是直接建立的连接,但是数据内容依然可能遭到野蛮破坏。

能够实施流量劫持的根本原因,是HTTP协议没有办法对通信对方的身份进行校验以及对数据完整性进行校验。如果能解决这个问题,则流量劫持将无法轻易发生。

扩展资料:

流量劫持的方式有很多种,常见的主要有DNS劫持、CDN入侵、网关劫持、ARP攻击、Hub嗅探等等。不同的劫持方式,获得的流量有所差异。DNS 劫持,可以截获通过域名发起的流量,直接使用 IP 地址的通信则不受影响;CDN 入侵,只有浏览网页或下载时才有风险,其他场合则毫无问题;而网关被劫持,用户所有流量都难逃魔掌。

对在一定通道内流动的流体的流量进行测量统称为流量计量。流量测量的流体是多样化的,如测量对象有气体、液体、混合流体;流体的温度、压力、流量均有较大的差异,要求的测量准确度也各不相同。

因此,流量测量的任务就是根据测量目的,被测流体的种类、流动状态、测量场所等测量条件,研究各种相应的测量方法,并保证流量量值的正确传递。

通常说的网站流量(traffic)是指网站的访问量,是用来描述访问一个网站的用户数量以及用户所浏览的网页数量等指标,常用的统计指标包括网站的独立用户数量、总用户数量(含重复访问者)、网页浏览数量、每个用户的页面浏览数量、用户在网站的平均停留时间等。

网站访问统计分析的基础是获取网站流量的基本数据,根据网上营销新观察的相关文章,网站流量统计指标大致可以分为三类,每类包含若干数量的统计指标。

在网络世界,用户花钱购买的流量是用户上网的通行证,舍此别无其他。显然,流量具有法律意义上的财产属性,未经本人许可,他人不能非法劫持。劫持流量,与非法占有或窃取他人财产没有任何本质区别。

然而,由于长期以来没有将劫持流量的行为定义为犯罪,一些不法之徒对劫持他人流量乐此不疲,并将其作为一种快速牟利的手段。即使因劫持他人流量被判决承担民事赔偿责任,劫持者还是抱着大不了赔钱了事的侥幸心态,依然我行我素,甚至铤而走险,以致流量劫持成了网络世界久治不愈的顽疾。

认为劫持流量不承担刑事责任是一种误解。虽然刑法没有直接设置劫持流量罪,但这并不意味着劫持流量的行为不构成犯罪。从劫持流量产生的恶劣后果来看,其行为不仅导致了用户因为流量流失而遭受经济损失,而且也因恶意软件的强行植入造成计算机系统的破坏,给网络的正常运行带来极大的安全隐患,符合刑法第286条关于破坏计算机信息系统罪的构成要件。

相关法条对该罪的处罚十分严厉,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

参考资料:百度百科——流量劫持

“流量劫持”是啥 不知道可能吃大亏

流量劫持就是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形。

目前“流量劫持”主要分为两类:

一是域名劫持,表现为在用户正常联网状态下,目标域名会被恶意地解析到其他IP地址上,造成用户无法正常使用服务。

二是数据劫持,指强行插入弹窗或嵌入式广告等其他内容,干扰用户的正常使用。

“流量劫持”意思其实有两种,你知道了吗

1.劫持网友浏览,增加某个网站的流量,以获取非法收益。

*流量或劫持

2.它可以对IE6、IE7浏览器地址栏进行劫持来刷搜索流量,同时监视用户的进程操作,并隐藏安全软件的窗口.木马会将用户的进程信息发送到木马制作者指定的地址进行分析,从中获得用户个人隐私.该木马还会不时弹出木马制作者指定的网站广告.

3.Worm/Fujack.aa“网页蛀虫”变种aa

Worm/Fujack.aa“网页蛀虫”变种aa是“网页蛀虫”蠕虫家族的最新成员之一,采用HTML网页脚本语言编写,是被“威金”变种感染后的网页文件.在用户访问的网页中显示一个宽度和高度都为0的编辑框(因为宽高都为0,所以该编辑框呈现隐藏不显示状态),用这个编辑框去打开骇客事先定义好的恶意网页地址,如果用户计算机系统没有安装微软发布的相应Windows操作系统漏洞补丁,那么用户的计算机系统就会执行恶意网页中的恶意代码,下载骇客指定远程服务器站点上的恶意程序,并在用户计算机上自动调用运行,致使用户计算机中毒.

4.Backdoor/ByShell.g“*大盗”变种g

Backdoor/ByShell.g“*大盗”变种g是“*大盗”后门家族的最新成员之一,采用VC++语言编写.“*大盗”变种g运行后,自我注入到被感染计算机系统的“iexplore.exe”和“winlogon.exe”进程中加载运行,利用HOOK API和映射等技术来隐藏自我,防止被查杀.自我注册为服务,实现“*大盗”变种g开机自动运行.被感染计算机被骇客完全控制,骇客可随时在被感染的计算机中上传、下载、运行任意程序,导致被感染计算机中的机密资料被骇客盗取,被感染的计算机会成为网络僵尸电脑.“*大盗”变种g不仅具有记录管理员帐户密码、屏幕监控、远程控制、远程文件操作等功能,而且可以躲避某些杀毒软件和防火墙的监控,降低被感染计算机上的安全级别.

  • 本文相关:
  • Gandi.net免费赠送.COM/.Me/.INFO等域名
  • HTTPS站点搭建教程:Win7/Windows Server 2008R2
  • windows server 2003中IIS6.0 搭配https本地测试环境
  • 微信公众号广告正进行最终测试 认证不再是门槛
  • 你的网站为什么不赚钱?老站长我有话说
  • 给项目选择域名时我们常犯的几个错误 你犯过几个?
  • 网站黑链防范,5招足矣!
  • 网站优化专员如何做好网站数据分析
  • 大姨吗柴可:如何两年做成一个2亿美金估值的女性健康APP
  • 来说说博客的运行之道
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved