正在阅读：通俗语言深度科普：流量劫持如何产生的?通俗语言深度科普：流量劫持如何产生的?

■第二阶段：中世纪

　　路由器弱口令

　　当电脑价格一再下降，到了大家打算买第二台的时候，路由器市场也随之火热起来。

　　但由于繁琐的配置，差劲的用户体验，至今仍有相当部分的用户不明白如何配置路由器。192.168.1.1 和 admin/admin 几乎成了国内路由器的常量。多少回，用这毫无技术含量的方法进入网吧或图书馆的路由器后台。

　　如果有人恶搞重启路由，或者给他人限速，你得感谢他的仁慈，这都算不严重。要是把路由器的DNS给改了，那就相当严重了！公网的 DNS 劫持一般不会持续太久，但路由器的 DNS 劫持也许长年累月都不会觉察到。

　　事实上，不乏一些安全意识强的用户也使用默认密码。理由很简单，目前的路由器有两道门槛：一个 WiFi 连接密码，另一个才是管理密码。很多人设置了复杂的 WiFi 密码就高枕无忧了，心想都连不到我的网络里怎么可能进的了后台？

　　之前我也有过这观念，但总觉不对劲：万一家里其他电脑或手机中毒了，自动尝试用弱口令爆进路由器后台怎么办。城门都被占领了，城墙再牢固又有何用。

　　事实上，黑客除了修改 DNS 配置外，还有更恐怖的行为：升级路由器的固件 —— 替换成一个看似完全相同但植入了恶意程序的固件！尽管这目前还尚未普及，然而一旦流行，大批路由器将成为潘多拉魔盒。

　　防范措施：千万别轻视路由器的密码，其实它比你所有账号都重要。
　　作者备注：不改默认密码的用户，神都保佑不了你~

　　路由器 CSRF

　　回到本文开始所说的，为什么有那么多路由器会出现这个漏洞呢？也许是路由器的开发人员太高估用户了，认为绝大多数用户都修改了默认密码，因此 CSRF 几乎难以产生。

　　事实上，国内网民的安全意识远超他们的想象。加上刚才说的，只设置了 WiFi 密码而忽略了管理密码，导致一个恶意程序就能悄悄进入路由器后台。

　　没想到现在这种病毒还真出现了，而且居然还是 Web 版的！

　　CSRF 漏洞让病毒木马都用不着了。用户直接访问一个网页，甚至是一帖子，浏览器自动向路由器发起修改配置的请求。

　　由于国产路由器的网页开发是如此的差劲，登录基本都是用既不安全又丑陋的 HTTP 401 弹框。这种登录只需在 URL 里填上『用户名:密码@』即可自动通过，即使登录失败也不会有什么提示。

　　防范措施：绝对要看管好路由器密码，并且定期去检查配置是否被篡改。
　　作者备注：看过路由器页面源代码会发现，那简直是惨不忍睹，甚至还是 IE5 时代的风格。路由器芯片都是采购的，内核也有开源的，所谓的『自主研发』就是做了那几个页面？

　　PPPoE 钓鱼

　　好了，不吐槽路由器了，下面说说再高级的路由器也无法避免的事。

　　除了一些大公司或学校，用的是固定的专线接入上网，个人或者小组织很少会使用这种土豪级套餐，只能老老实实的拨号上网 —— 无论是电信，还是网通铁通各种通。

　　不少人都存在误区，认为拨号是物理信号的建立过程，在没有拨上之前，点对点是不通的。如果真是这样，那么拨号时账号密码是如何传过去的呢？显然不可能。事实上，终端之间时刻都是畅通的，只不过不拨号就无法得到IP、网关、会话等参数，即使强制把包发给网关，人家虽能收到，但没有认证的会话是不予理睬的，你自然没法上网。

　　PPPoE，大家经常在拨号时看到这词。Point-Point Protocol over Ethernet，故名思议，就是点对点的协议：用户发送账号密码认证给终端（BRAS），并得到上网 IP、网关地址、会话等。而且协议是基于以太网的，哪怕线路不是，也得想办法把数据封装进去。

　　传统的 ADSL 是通过电话线上网的，于是需要一个『猫』来把以太网数据调制成电话信号，最终通过电信交换机传输。这种设备保障每家每户都是独立的，以免电话信号被窃听。

　　然而，后来兴起的各种通就不一定了。不少打着的『千兆到楼，百兆到家』的宽带，就是建了N个小区局域网，然后合并到一个大的城域网（MAN）里。所谓的『百兆』，无非就是拖进你家的那根网线插在楼下一个 100Mbps 的交换机上而已。

　　用过网通的都知道，百兆带宽并没有快到哪里，甚至在一些南方地区网速慢如蜗牛。但在下载的时候，却能轻松飙到数兆每秒。这时局域网的作用就发挥出来了，如果附近有多个人在看同样的视频，P2P 就直接在内网里共享流量了，大幅减轻了节点的压力。

　　但是，整个小区成了一个局域网，是多么的不安全。有时甚至不合理的 VLAN 划分，导致多个小区成一内网。要是有人开启 DHCP 服务，其他用户插上网线就能上网了，连拨号都不用，难道天上掉馅饼了？如果敢吃，那可能就落入黑客的陷阱了。

　　当然，现在直接插网线的并不多，基本通过路由器自动拨号了。但他们的协议都是一样的 —— PPPoE，一种极不安全的协议。

　　类似 DHCP 协议，PPPoE 也是通过广播来探寻有哪些可用的终端，意味着整个小区的内网用户都能收到；同时探寻包一直往上冒泡，直到被城域网的终端们收到，然后开始纷纷回应。

　　如果小区里有人私自开启一个 PPPoE 终端服务，显然是最先被收到的。真正的回应包还在大街小巷里传递着，用户和黑客已经开始协商认证了。

　　不过或许你会说，这必须有人拨号才能上钩，现在都用路由器，长年累月不会断开。如果不想耐心等，也有很简单的方法：来一次集体掉线。

　　刚刚说过，可以用短路的网线，引发一场广播风暴。不过这太过暴力了，甚至会引起流量异常的报警。我们可以使用更简单有效的方法：MAC 欺骗，不停伪造终端服务器的 MAC 地址，就可以将小区用户的数据包统统吸过来了。

　　PPPoE 使用的是一种隧道方式，将任何数据都封装在其栈下，因此捕捉到用户任意一个包，即可得到 PPPoE 栈上的会话 ID。然后冒充终端，向用户发送一个『断开连接』的指令，用户就乖乖下线了。使用这种方法，分分钟就能让整个小区的用户重新拨一次号，于是可以快速钓鱼了。

　　还有更糟的是，PPPoE 绝大多数时候都是明文传输用户名和密码的，因此还能额外获得用户发来的认证账号。

　　前面吐槽了大学寝室楼 1000 多机器还不划 VLAN 的，于是写一个简单的 PPPoE 模拟器，就能轻松抓到整个网络环境里的上网账号。（还支持一键全都拨上，集体下线的恶作剧功能~）

　　防范措施：由于 PPPoE 的安全严重依赖物理层，所以尽量不要装以太网接入的宽带。当然，管理员们应该严格限制 PPPoE 搜寻回复包，就像 DHCP 那样只允许特定接口出现。事实上小区内部是不可能出现 BRAS 服务器的，因此只允许交换机的 WAN 口出现回复包，那样就不容易被钓鱼了。
　　作者备注：PPPoE 还有个更严重 BUG，会话 ID 只有 2 字节，最多 65536 种可能。事先构造个『拨号断开』的请求包，接着把会话 ID 依次遍历一下，就能让某个终端服务器的所有用户下线。如果事先收集好所有终端服务器地址，可以发起一次全城断网——这个 BUG 应该早已经修复了，只需绑定 <会话 ID，用户 MAC，小区 VLAN-ID> 关系即可。而且一个小脚本就能断开全城各县市的网络，说明终端部署不能太过集中。

　　蜜罐代理

　　由于众所周知的原因，某国对代理的需求居高不下。不管黑的白的，透明的还是高匿的，只要能翻出去就是好的。

　　VPN 需要用户名密码以及各种认证，中途被劫持几乎是不可能的。黑客抓住了人们的纯真的心里，将目光转到代理上面。的确，加密后的数据中途确实难以劫持，但最终仍要在服务端还原出真实内容吧。如果一时大意，连接了某个免费的 VPN，或许就登上了黑客的贼船了。

　　相比 HTTP 代理只影响部分功能，VPN 将整个系统的流量都通过穿越过去了。而这一切应用程序并不知晓，仍然将一些重要的数据往外发送，最终被黑客所劫持。

　　防范措施：不要贪图小利，用那些打着免费幌子的代理。天下没有免费的午餐。
　　作者备注：很多蜜罐代理未必是黑客布下的，而是你懂的。