当前位置:首页 > 网站建设

针对某电商网站流量劫持案例分析与思考

时间:2018-01-14 16:02:00来源:网站建设作者:seo实验室小编阅读:77次「手机版」
 

阿里妈妈流量劫持

前言

腾讯京东建立了战略合作关系之后,笔者网上购物就首选京东了。某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东,心里第一个反应就是中木马了。

竟然有这样的事,一定要把木马大卸八块。

原因排查

首先在重现的情况下抓包,京东官网确实返回了一段javaScript让浏览器跳转到了yiqifa.com。

下图是应用层的抓包。

1

服务器返回的代码导致跳转,基本可以排除本地木马,推测是网络或者服务器的问题。根据笔者的经验,这种情况很大可能是链路上的流量劫持攻击。当然也不能排除京东服务器被黑的情况。

继续排查。应用层已经不行了,我们要用Wireshark抓网络层的包。

2

从Wireshark结果可以看到,网络上出现了两个京东的HTTP响应。第一个先到,所以浏览器执行里面的JavaScript代码转到了yiqifa.com;第二个HTTP响应由于晚到,被系统忽略(Wireshark识别为out-of-order)。

两个京东的HTTP响应包,必然一真一假。快揭示真相了。

再来看看两个HTTP响应的IP头。

第一个包TTL值是252,第二个包TTL值是56,而之前tcp三次握手时京东服务器的TTL值是56,故可以判断先到的包是伪造的,真的包晚到而被系统忽略。

3

至此,确认是链路上的劫持。

攻击方式

继续分析伪造的数据包。

伪造包的TTL值是252,也就是说它的原始TTL值应该是255(大于252的系统默认TTL值只能是255了,一般不会修改),也就表明攻击者的设备离我隔了3个路由;而正常的京东网站的HTTP响应TTL值是56,隔了8个路由。物理上假的设备离我近,所以伪造的HTTP响应会先到——比较有意思的是,笔者实际监测时候发现也有伪造包晚到导致劫持失败的情况。

推测是一个旁路设备侦听所有的数据包,发现请求京东首页的HTTP请求就立即返回一个定制好的HTTP响应。大致的攻击示意图如下。

4

当时笔者推测攻击者在链路上大动干戈应该不会只针对一个网站,于是就访问了下易迅、淘宝天猫这些电商网站,结果发现易迅也受到同样的攻击。看起来这次流量劫持的目的是将电商网站流量导给返利联盟,通过返利联盟获得当前用户成交金额的返利。

基本确认运营商有问题,但是无法确认是运营商官方故意的还是遭到黑客攻击或者是内部人士偷偷搞的。

攻击源定位

来看看当时的路由结果:

5

如果按初始TTL值为255来算,HTTP包到达本机后为252,推算出经过了3(255-252)个路由,出问题的地方就在第4个路由附近,也就是这里的119.145.220.86(属于深圳电信)。

当然了,虽然基本可以确认是第四个路由附近的问题(笔者连续几天抓包,伪造的HTTP响应包TTL值一直是252),但是不排除设备故意构造一个初始TTL值(比如设置为254)来增加追查难度,为了严谨的治学态度及避免被攻击者迷惑,所以证据要坐实了。

定位比较简单,既然攻击设备是旁路侦听数据包,可以推测它是基于包而非状态的,我们构造被侦听的数据包(也就是直接发出访问京东首页的HTTP请求TCP包,不需要三次握手)多次发送,TTL值从1开始递增,精确地传递数据包到每一个路径上,直到出现伪造响应——没有问题的位置是不会有响应的,第一个出现伪造响应的位置就是出问题的位置。

相关阅读

最全活动策划、运营攻略,5000字,多个案例分析

作为一个运营人员,活动策划、活动运营总是如影随形,今天和大家聊聊如何去运营一场完整的活动。文章5000多个字,慢慢品味。首先请大家

运营实战案例分析:如何制定运营策略?

运营策略的制定是每个运营小白向高阶进击必须跨过的坎,相信很多运营新人在校招面试的过程中也会经常遇到这样的问题 “如果让你运

案例分析 | 新媒体活动策划的那些经验

我永远记得2014年的那个端午节,当时公司的微信公众号粉丝只有5000人,这是我第一次接手公众号并策划第一期活动。活动是一个小互动,用

电商网站用户停留时间优化的误区分析

在SEO优化行业,除了网站的排名之外,还有一个重要的工作就是要提升网站的流量转化率,增加网站用户在网站上时间停留的越长,只有越长才

案例分析分析:英语听力口语工具可可英语的产品分析

可可英语作为一项旨在全方位提升学生、白领英语水平的产品,能够较好地给用户提供听、说、读、写等方面的训练。将教育行业与互联网

分享到:

栏目导航

推荐阅读

热门阅读