流量劫持常见的攻击场景
流量劫持是一种网络攻击手段,攻击者通过操控数据包的传输过程来窃取、篡改或伪造通信内容。这种攻击可以在多个层面上发生,通常会导致用户敏感信息的泄露、数据的篡改以及其他更严重的后果。以下是一些常见的流量劫持攻击场景:
1. DNS 劫持
DNS劫持的攻击目标为提供的DNS解析的设备或文件。因此,常见的DNS劫持攻击手法分为:本地DNS劫持、路由器DNS劫持、中间人DNS攻击、恶意DNS服务器攻击。
(1)本地DNS劫持,通过修改本地hosts文件、更改本地DNS设置(非流量劫持)实现攻击。
(2)路由器DNS劫持,利用弱密码、固件漏洞等,攻击路由器,更改路由器DNS设置。
(3)中间人DNS攻击,通过拦截DNS查询请求,返回虚假IP,实现攻击。
(4)恶意DNS服务器攻击,即通过直接攻击DNS服务器,更改DNS记录。
(5)攻击者通过修改 DNS 解析结果,使用户访问伪造的网站。例如,当用户输入一个正常的 URL 时,攻击者将其重定向到一个钓鱼网站。这种方式常被用于盗取登录凭据或安装恶意软件。
2. HTTP 劫持
攻击者通过拦截未加密的 HTTP 流量,对网站内容进行篡改。在这种情况下,用户可能会看到恶意广告、钓鱼链接或者被自动重定向到恶意网站。
HTTP劫持的关键点在于识别HTTP协议,并进行标识。因此,HTTP劫持方法较为单一,主要目的如下:
(1)嗅探侦听流量,伪造HTTP响应;
(2)钓鱼攻击;
(3)灰产广告引流
HTTP劫持更多发生在服务端网站被入侵后,攻击者植入了恶意代码实现跳转,较常见的场景有:在通过搜索引擎访问网站时发生跳转,但在直接访问网站时并不会跳转,这是因为攻击者在植入的恶意代码中加入了对HTTP请求头Referer内容的判断。
3. 链路层劫持
(1)TCP劫持
TCP劫持的主要目的如下:
a. 嗅探侦听流量,窃密;
b. 访问限制,重定向导致断网或者钓鱼攻击;
c. 灰产广告引流
更多的TCP劫持主要发生在运营商层面,用户在上网冲浪时,浏览器的右下角总是会出现各种各样的小广告。目前,在网络上仍存在类似的灰产组织,通过某些通信工具依旧可以发现他们的踪迹。
(2)ARP 劫持(ARP Spoofing)
在局域网中,攻击者通过发送伪造的 ARP(地址解析协议)消息,将自己的 MAC 地址映射到目标主机的 IP 地址上。这样,所有发往该 IP 地址的数据包都会被发送到攻击者的设备,从而实现对流量的监控和篡改。
比较经典的ARP病毒"传奇网吧杀手",该病毒作者破解了"传奇"游戏的加、解密算法,通过分析游戏的通信协议,在网吧内作案,窃取同在一个网吧局域网内的"传奇"游戏玩家的详细信息。
4. SSL 劫持 (HTTPS Stripping)
在这种攻击中,攻击者将用户与安全网站之间的 HTTPS 连接替换为未加密的 HTTP 连接。由于用户无法察觉这一变化,他们可能会在不安全的环境中输入敏感信息,例如用户名和密码。
5. Wi-Fi 热点劫持
攻击者设置一个看似合法的公共 Wi-Fi 热点,并诱使用户连接。一旦用户连接,攻击者便可以监控和篡改通过该热点传输的数据,包括浏览的网页和提交的表单信息。
6. 中间人攻击 (MITM)
这是一种更加广泛的攻击方法,其中攻击者在用户和服务器之间充当中介,从而能够读取和修改两者之间的所有通信。这种攻击可以通过多种方式实现,包括 SSL 劫持、DNS 劫持等。
7. BGP 劫持
边界网关协议(BGP)是互联网的路由协议。攻击者通过发布虚假的 BGP 路由信息,控制一部分或全部流量。这种攻击可能导致大规模的流量重定向甚至整个服务的中断。
8. TCP 劫持
攻击者利用 TCP 协议的特性,通过猜测序列号,冒充受信任的主机与另一台主机建立连接,从而劫持 TCP 会话。这类攻击可以用于窃取数据或注入恶意数据。
预防措施
为了降低流量劫持的风险,可以采取以下预防措施:
- 使用 HTTPS:确保网站使用 SSL/TLS 加密,以保护用户数据的安全。
- 更新路由器固件:定期检查和更新网络设备的固件,修复已知漏洞。
- 使用 VPN:在不安全的网络中使用虚拟专用网络(VPN),以加密所有传输的数据。
- 启用双因素认证:增强账户安全,即使凭据被窃取,也能阻止未经授权的访问。
- 保持警惕:用户在访问网站时应注意地址栏的安全标志和网址的正确性,以防止钓鱼攻击。
流量劫持是一种日益复杂和隐蔽的攻击方式,因此防范措施也应不断更新和完善,以保护用户的隐私和数据安全。