流量劫持的分层介绍
流量劫持
1、物理層
這里的流量主要是從物理線路上進(jìn)行引流,使得流量經(jīng)過自己的監(jiān)控設(shè)備,一般流量劫持不在這層做,但是有些監(jiān)控設(shè)備會吧流量轉(zhuǎn)過來做監(jiān)控審計(jì),或者做嗅探。
2、數(shù)據(jù)鏈路層
一般這里有兩種,一種是ARP攻擊-MAC欺騙一類,一種是HUB嗅探(已經(jīng)很少了,因?yàn)镠UB基本被淘汰了)。ARP攻擊原理也很簡單:
2.1、ARP攻擊原理
是因?yàn)槿魏蜛RP協(xié)議沒有狀態(tài)且ARP響應(yīng)包接收方不對收到的response報(bào)文做安全性檢查,直接信任,可以直接對client偽裝自己是網(wǎng)關(guān),從而達(dá)到吸引client的跨廣播域流量到自己來的目的,可以做中間人,實(shí)現(xiàn)流量劫持。典型例子bettercap軟件
2.2、MAC攻擊原理
現(xiàn)代的接入交換機(jī)的mac動態(tài)學(xué)習(xí)算法亦然僵化,來的就學(xué)到,發(fā)動大量偽造源MAC的數(shù)據(jù)報(bào)文就可以欺騙交換機(jī),或者直接偽造各種流量報(bào)文,打滿交換機(jī)的MAC的mac學(xué)習(xí)表,從而逼迫交換機(jī)轉(zhuǎn)發(fā)幀的時(shí)候進(jìn)行廣播,從而達(dá)到嗅探的目的。
3、網(wǎng)絡(luò)層
這里方法會多一些,第一入侵路由器,修改路由,使得受害者的流量經(jīng)過攻擊者控制的設(shè)備就行操作。或者做一個(gè)代理,使得受害者的流量都由攻擊者的代理服務(wù)器轉(zhuǎn)發(fā)。或者進(jìn)行PPPoE釣魚,一般PPPoE都是撥號到路由器上,所以這里就歸入網(wǎng)絡(luò)層吧,當(dāng)然還有WiFi熱點(diǎn)釣魚、偽基站等等。很多都很熟悉了,有點(diǎn)安全意識就可以避免的,比如WiFi熱點(diǎn),偽基站等等,入侵路由器則可能是漏洞修復(fù)的問題及口令配置的問題。而配置代理也需要入侵路由器或者攻擊者主機(jī),要么就是免費(fèi)代理引誘受害者上當(dāng),都另做盤算。這里主要說一下PPPoE釣魚:
3.1、PPPoE釣魚
PPPoE Request報(bào)文會層層廣播,層層向上,所以如果受害者如果和攻擊者在一個(gè)Vlan里或者受害者的PPPoE的request的報(bào)文到達(dá)PPPoE服務(wù)器之前到達(dá)了攻擊者控制的設(shè)備,那么攻擊者只需開啟一個(gè)PPPoE服務(wù)端,你們就會搶先開始愉快的相互認(rèn)證,信息就被黑客拿到了
4、應(yīng)用層
這里就更多了,而且都是排查重點(diǎn)。
4.1、DNS劫持
本地host文件被污染,或者你所在的服務(wù)器上修改了解析(也可能是加了解析)都有可能導(dǎo)致。很明顯的特點(diǎn)就是不同方式接入訪問同一個(gè)站點(diǎn),結(jié)果不同。這個(gè)時(shí)候要檢查host文件和DNS解析的情況。
查看本地DNS和其他權(quán)威DNS的解析比教。
root@bogon#dig www.target.com
root@bogon#dig www.target.com @114.114.114.114
root@bogon#dig www.target.com +trace
4.1.1、DNS污染與DNS劫持的區(qū)別
DNS污染指的是偽造DNS回包,并搶先到達(dá)Client。DNS劫持是攻擊DNS服務(wù)器,修改解析記錄。
4.1.2、相關(guān)命令使用補(bǔ)充--dig
dig
-x 反解析IP
-t dns解析類型
-p 指定dns服務(wù)器端口號
-f 文件批處理方式解析多個(gè)域名
-b 指定命令執(zhí)行的主機(jī)從哪個(gè)ip的網(wǎng)口發(fā)出相關(guān)請求
4.2、業(yè)務(wù)偽造
業(yè)務(wù)偽造可以有很多攻擊場景,這里其實(shí)可以歸類為MOTS,攻擊要點(diǎn)就是偽造報(bào)文搶先到達(dá),基于現(xiàn)有的網(wǎng)絡(luò)情況,跳數(shù)越少,越先到達(dá)(設(shè)備轉(zhuǎn)發(fā)占據(jù)大部分時(shí)間)。
這里借用Freebuf上的一張圖
4.2.1、攻擊場景
TCP劫持,可以直接獲取到TCP的SEQ當(dāng)然還有其他所有信息,足夠偽造回包,TCP對包的來源沒有繼續(xù)確認(rèn)的辦法,MOTS可以全面?zhèn)卧霻CP狀態(tài)機(jī)的每一個(gè)狀態(tài);
DoS攻擊,只需要一個(gè)Rst報(bào)文或者一個(gè)ICMP不可達(dá)報(bào)文就可以拆連接或阻塞UDP通信,達(dá)到DoS的效果;
HTTP劫持,請見下面的例子;
DNS 污染攻擊,搶先偽造DNS響應(yīng)并回包;
4.2.2、典例HTTP攻擊場景
明顯特點(diǎn)就是IP報(bào)文中的TTL不同(TimeToLive),正常的訪問由于地理未知原因會經(jīng)過多跳才能到達(dá),但是偽造業(yè)務(wù)回包的設(shè)備肯定離你比正常訪問近,回包先到達(dá),否則無法達(dá)成劫持的效果。尤其是偽造HTTP的偏多。
這里使用curl進(jìn)行簡單的判斷看回顯:
curl -H:"key:value" url
-k 允許不用ssl
4.3、CDN入侵
CDN本質(zhì)是良性的DNS流量劫持,而且本地會緩存很多文件,速度性能都會有很大提升,但是CDN被入侵,緩存會被替換從而導(dǎo)致各種腳本注入,跳轉(zhuǎn)導(dǎo)致流量被劫持。
4.4、HTTP站點(diǎn)被入侵導(dǎo)致的流量劫持
在頁面上加?xùn)|西被跳轉(zhuǎn),特點(diǎn)是所有人訪問他都會被劫持,這個(gè)和DNS有明顯區(qū)別,和業(yè)務(wù)偽造也有明顯區(qū)別。
總結(jié)
- 上一篇: java三个环境变量_java基础(一)
- 下一篇: floyed java_Floyd算法j