流量劫持常见的攻击场景

流量劫持常见的攻击场景

流量劫持是一种网络攻击手段，攻击者通过操控数据包的传输过程来窃取、篡改或伪造通信内容。这种攻击可以在多个层面上发生，通常会导致用户敏感信息的泄露、数据的篡改以及其他更严重的后果。以下是一些常见的流量劫持攻击场景：

1. DNS 劫持

DNS劫持的攻击目标为提供的DNS解析的设备或文件。因此，常见的DNS劫持攻击手法分为：本地DNS劫持、路由器DNS劫持、中间人DNS攻击、恶意DNS服务器攻击。

（1）本地DNS劫持，通过修改本地hosts文件、更改本地DNS设置（非流量劫持）实现攻击。

（2）路由器DNS劫持，利用弱密码、固件漏洞等，攻击路由器，更改路由器DNS设置。

（3）中间人DNS攻击，通过拦截DNS查询请求，返回虚假IP，实现攻击。

（4）恶意DNS服务器攻击，即通过直接攻击DNS服务器，更改DNS记录。

（5）攻击者通过修改 DNS 解析结果，使用户访问伪造的网站。例如，当用户输入一个正常的 URL 时，攻击者将其重定向到一个钓鱼网站。这种方式常被用于盗取登录凭据或安装恶意软件。

2. HTTP 劫持

攻击者通过拦截未加密的 HTTP 流量，对网站内容进行篡改。在这种情况下，用户可能会看到恶意广告、钓鱼链接或者被自动重定向到恶意网站。

HTTP劫持的关键点在于识别HTTP协议，并进行标识。因此，HTTP劫持方法较为单一，主要目的如下：

（1）嗅探侦听流量，伪造HTTP响应；

（2）钓鱼攻击；

（3）灰产广告引流

HTTP劫持更多发生在服务端网站被入侵后，攻击者植入了恶意代码实现跳转，较常见的场景有：在通过搜索引擎访问网站时发生跳转，但在直接访问网站时并不会跳转，这是因为攻击者在植入的恶意代码中加入了对HTTP请求头Referer内容的判断。

3. 链路层劫持

（1）TCP劫持

TCP劫持的主要目的如下：

a. 嗅探侦听流量，窃密；

b. 访问限制，重定向导致断网或者钓鱼攻击；

c. 灰产广告引流

更多的TCP劫持主要发生在运营商层面，用户在上网冲浪时，浏览器的右下角总是会出现各种各样的小广告。目前，在网络上仍存在类似的灰产组织，通过某些通信工具依旧可以发现他们的踪迹。

（2）ARP 劫持（ARP Spoofing）

在局域网中，攻击者通过发送伪造的 ARP（地址解析协议）消息，将自己的 MAC 地址映射到目标主机的 IP 地址上。这样，所有发往该 IP 地址的数据包都会被发送到攻击者的设备，从而实现对流量的监控和篡改。

比较经典的ARP病毒"传奇网吧杀手"，该病毒作者破解了"传奇"游戏的加、解密算法，通过分析游戏的通信协议，在网吧内作案，窃取同在一个网吧局域网内的"传奇"游戏玩家的详细信息。

4. SSL 劫持 (HTTPS Stripping)

在这种攻击中，攻击者将用户与安全网站之间的 HTTPS 连接替换为未加密的 HTTP 连接。由于用户无法察觉这一变化，他们可能会在不安全的环境中输入敏感信息，例如用户名和密码。

5. Wi-Fi 热点劫持

攻击者设置一个看似合法的公共 Wi-Fi 热点，并诱使用户连接。一旦用户连接，攻击者便可以监控和篡改通过该热点传输的数据，包括浏览的网页和提交的表单信息。

6. 中间人攻击 (MITM)

这是一种更加广泛的攻击方法，其中攻击者在用户和服务器之间充当中介，从而能够读取和修改两者之间的所有通信。这种攻击可以通过多种方式实现，包括 SSL 劫持、DNS 劫持等。

7. BGP 劫持

边界网关协议（BGP）是互联网的路由协议。攻击者通过发布虚假的 BGP 路由信息，控制一部分或全部流量。这种攻击可能导致大规模的流量重定向甚至整个服务的中断。

8. TCP 劫持

攻击者利用 TCP 协议的特性，通过猜测序列号，冒充受信任的主机与另一台主机建立连接，从而劫持 TCP 会话。这类攻击可以用于窃取数据或注入恶意数据。

预防措施

为了降低流量劫持的风险，可以采取以下预防措施：

• 使用 HTTPS：确保网站使用 SSL/TLS 加密，以保护用户数据的安全。
• 更新路由器固件：定期检查和更新网络设备的固件，修复已知漏洞。
• 使用 VPN：在不安全的网络中使用虚拟专用网络（VPN），以加密所有传输的数据。
• 启用双因素认证：增强账户安全，即使凭据被窃取，也能阻止未经授权的访问。
• 保持警惕：用户在访问网站时应注意地址栏的安全标志和网址的正确性，以防止钓鱼攻击。

流量劫持是一种日益复杂和隐蔽的攻击方式，因此防范措施也应不断更新和完善，以保护用户的隐私和数据安全。