当前位置: 首页 > 系统与网络 > 正文

[分享]福建电信 TCP劫持B2C网站至返利网站

前些日子我提到过劫持的问题。不过当时京东 易迅 一号店等B2C网站尚未被劫持,而劫持了虎扑:http://blog.ich8.com/post/5220

不过现在那些网站没被劫持,反而劫持了这些B2C网站。依旧,跳转链接还是臭名昭著的hao360c这网站。

通过抓包得知,劫持手段为TCP链路劫持。简单说在链路的某一层有台旁路监听设备,监听HTTP协议。当获取到与特征库相符的数据包后在正确数据包到达之前插入一个被篡改的伪造的数据包。

我抓去了京东和一号店的数据包。可以看出收到了2次HTTP响应包,伪造的数据包优于合法的数据包到达客户端。
伪造的数据包TTL=58,京东服务器三次握手后的TTL=55。但TTL=58并不能说一定位于第七个路由上,因为此值可以被修改。
通过下面2张图可以看出,优先返回的伪造的数据包内容依旧是通过javascript脚本进行跳转到返利网站后再跳转回京东,并将cookie写入浏览器。而TTL=55的数据包返回的是正确的京东网站的内容。
伪造的数据包内容
福建电信 劫持京东等B2C网站

合法的数据包内容
福建电信 劫持京东等B2C网站

一号店的数据包,依旧和京东的一样,并且TTL值依旧=58
伪造的数据包内容
tcp3

合法的数据包内容
tcp4

根据TTL进行计算,并且此次覆盖范围为福建全省的电信,因此可以符合和判定在省际交换或者接入163骨干网附近做的手脚。
tracert

本文固定链接: http://blog.ich8.com/post/5373 | 霸王硬上弓's Blog

avatar
该日志由 霸王硬上弓 于2015年05月12日发表在 系统与网络 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: [分享]福建电信 TCP劫持B2C网站至返利网站 | 霸王硬上弓's Blog

[分享]福建电信 TCP劫持B2C网站至返利网站:目前有2 条留言

  1. avatar
    沙发
    laucenmi:

    请问楼主用的是什么分析工具?

    2015-08-28 20:10

发表评论

您必须 [ 登录 ] 才能发表留言!