声明:本文转载自FEX团队,其实就是baidu的Web前端研发部。作者zjcqoo,内容/排版略有编译,返回原文请点击。 原谅小编吧,我们非工程师亦非架构师,没有基因,恐怕一辈子也只能理解其意,无法写出这么全面、有深度并且通俗易懂的文章来,是的,最后一点尤其难能可贵;另外,我们亦缺乏美术细胞,实在画不出那么贱贱的插图,图软件画的?惭愧啊,好资源通常不好找。但是,看到真正有深度的文章,还是希望受益大家,一起来学习吧~ 流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始死灰复燃。众多知名大厂的路由器相继被曝出存在安全漏洞,引来国内媒体纷纷报道。只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改。互联网一夜间变得岌岌可危。 然而,攻击还是那几种攻击,报道也还是千篇一律的砖家提醒,以至于大家都麻木了。早已见惯运营商的各种劫持,频繁的广告弹窗,大家也无可奈何。这么多年也没出现过什么损失,也就睁只眼闭只眼。事实上,仅仅被运营商劫持算是比较幸运了,相比黑客,运营商广告劫持虽无节操但还是有底线的,合法的。现在能让你看见广告就是警钟响了,只不过还是那句难听的话:你还没有价值。 我会被劫持吗? 不少人存在这样的观点:只有那些安全意识薄弱的才会被入侵。只要装了各种专业的防火墙,系统补丁及时更新,所有的密码都很复杂,劫持肯定是轮不到我了。的确,安全意识强的自然不容易被入侵,但那只对传统的病毒木马而已。而在流量劫持面前,几乎是人人平等的。网络安全与传统的系统安全不同,网络是各种硬件设备组合的整体,木桶效应尤为明显。即使有神一样的系统,一旦遇到猪一样的设备,你的安全等级瞬间就能被拉低。现在越来越流行便宜的小路由,你想过没有:你网上交易的流量都要经过它…… 即使你相信系统和设备都绝对可靠,就能高枕无忧了吗?事实上有问题的设备并不多,但出问题的事却不少,难道其中还存在什么缺陷?没错,还遗漏了最重要的一点:网络环境。 如果网络环境里有黑客潜伏着,即使具备专业技术,也是在所难逃了,敌暗我明,稍不留神就会落入圈套。当然,苍蝇不叮无缝的蛋。有哪些隐患导致你的网络环境出现了裂缝?太多了,从古到今流行过的攻击方式数不胜数。甚至可以根据实际环境,自己创造一种。下面是我回忆中亲自尝试过的劫持案例,基本可以按照3个时代划分,也就是本篇的目录了: 上古时代 ·Hub 嗅探 中世纪 ·路由器弱口令 工业时代 ·WiFi 弱口令 ■第一阶段:上古时代(一) Hub 嗅探 集线器(Hub)这种设备如今早已销声匿迹了,即使在十年前也少有人用。作为早期的网络设备,它唯一的功能就是广播数据包:把一个接口的收到的数据包群发到所有接口上。且不吐槽那小得惊人的带宽,光是这转发规则就是多么的不合理。任何人能收到整个网络环境的数据,隐私安全可想而知。 嗅探器成了那个时代的顶尖利器。只要配置好过滤器,不多久就能捕捉到各种明文数据,用户却没有任何防御对策。 防范措施:还在用的赶紧扔了吧。 MAC 欺骗 交换机的出现逐渐淘汰了集线器。交换机会绑定 MAC 地址和接口,数据包最终只发往一个终端。因此只要事先配置好 MAC 对应的接口,理论上非常安全了。 不过,很少有人会那么做,大多为了偷懒,直接使用了设备默认的模式 —— 自动学习。设备根据某个接口发出的包,自动关联该包的源地址到此接口。 然而这种学习并不智能,甚至太过死板,任何一个道听途说都会当作真理。用户发送一个自定义源 MAC 地址的包是非常容易的,因此交换机成了非常容易被忽悠的对象。只要伪造一个源地址,就能将这个地址关联到自己的接口上,以此获得受害者的流量。 不过,受害者接着再发出一个包,绑定关系又恢复原先正常的。因此只要比谁发的频繁,谁就能竞争到这个 MAC 地址的接收权。如果伪造的是网关地址,交换机就误以为网关电缆插到你接口上,网络环境里的出站流量瞬间都到了你这里。 当然,除非你有其他出站渠道,可以将窃取的数据代理出去;否则就别想再转发给被你打垮的真网关了,被劫持的用户也就没法上外网。所以这招危害性不是很大,但破坏性很强,可以瞬间集体断网。 防范措施:机器固定的网络尽量绑定 MAC 和接口吧。貌似大多数网吧都绑定了 MAC 和接口,极大增强了链路层的安全性。同时,独立的子网段尽可能划分 VLAN,避免过大的广播环境。 MAC 冲刷 之前说了集线器和交换机的转发区别。如果交换机发现一个暂时还未学习到的 MAC 地址,将会把数据包送往何处呢?为了不丢包,只能是广播到所有接口。 如果能让交换机的学习功能失效,那就退化成一个集线器了。由于交换机的硬件配置有限,显然不可能无限多的记录地址对应条目。我们不停伪造不重复的源地址,交换机里的记录表很快就会填满,甚至覆盖原有的学习记录,用户的数据包无法正常转发,只能广播到所有接口上了。 防范措施:还是 MAC 和接口绑定。一旦绑定,该接口只允许固定的源地址,伪造的自然就失效了。当然,好一点的交换机都有些策略,不会让一个接口关联过多的 MAC 地址。
|
正在阅读:通俗语言深度科普:流量劫持如何产生的?通俗语言深度科普:流量劫持如何产生的?
2014-04-30 00:15
出处:其他
责任编辑:shengyongzhen
键盘也能翻页,试试“← →”键