前些日子我提到过劫持的问题。不过当时京东 易迅 一号店等B2C网站尚未被劫持,而劫持了虎扑:https://blog.ich8.com/post/5220
不过现在那些网站没被劫持,反而劫持了这些B2C网站。依旧,跳转链接还是臭名昭著的hao360c这网站。
通过抓包得知,劫持手段为TCP链路劫持。简单说在链路的某一层有台旁路监听设备,监听HTTP协议。当获取到与特征库相符的数据包后在正确数据包到达之前插入一个被篡改的伪造的数据包。
我抓去了京东和一号店的数据包。可以看出收到了2次HTTP响应包,伪造的数据包优于合法的数据包到达客户端。
伪造的数据包TTL=58,京东服务器三次握手后的TTL=55。但TTL=58并不能说一定位于第七个路由上,因为此值可以被修改。
通过下面2张图可以看出,优先返回的伪造的数据包内容依旧是通过javascript脚本进行跳转到返利网站后再跳转回京东,并将cookie写入浏览器。而TTL=55的数据包返回的是正确的京东网站的内容。
伪造的数据包内容
合法的数据包内容
一号店的数据包,依旧和京东的一样,并且TTL值依旧=58
伪造的数据包内容
合法的数据包内容
根据TTL进行计算,并且此次覆盖范围为福建全省的电信,因此可以符合和判定在省际交换或者接入163骨干网附近做的手脚。
mumusnow:
kexinlh:
sakar:
thxg321:
xxj100743:
hello.jason:
qijianjiang:
请问楼主用的是什么分析工具?
用科来就好了 ,搜索一下就有。