正在阅读:通俗语言深度科普:流量劫持如何产生的?通俗语言深度科普:流量劫持如何产生的?

2014-04-30 00:15 出处:其他 作者:zjcqoo 责任编辑:shengyongzhen

声明:本文转载自FEX团队,其实就是baidu的Web前端研发部。作者zjcqoo,内容/排版略有编译,返回原文请点击

原谅小编吧,我们非工程师亦非架构师,没有基因,恐怕一辈子也只能理解其意,无法写出这么全面、有深度并且通俗易懂的文章来,是的,最后一点尤其难能可贵;另外,我们亦缺乏美术细胞,实在画不出那么贱贱的插图,图软件画的?惭愧啊,好资源通常不好找。但是,看到真正有深度的文章,还是希望受益大家,一起来学习吧~

 

  流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始死灰复燃。众多知名大厂的路由器相继被曝出存在安全漏洞,引来国内媒体纷纷报道。只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改。互联网一夜间变得岌岌可危。

  然而,攻击还是那几种攻击,报道也还是千篇一律的砖家提醒,以至于大家都麻木了。早已见惯运营商的各种劫持,频繁的广告弹窗,大家也无可奈何。这么多年也没出现过什么损失,也就睁只眼闭只眼。事实上,仅仅被运营商劫持算是比较幸运了,相比黑客,运营商广告劫持虽无节操但还是有底线的,合法的。现在能让你看见广告就是警钟响了,只不过还是那句难听的话:你还没有价值。

se

  我会被劫持吗?

  不少人存在这样的观点:只有那些安全意识薄弱的才会被入侵。只要装了各种专业的防火墙,系统补丁及时更新,所有的密码都很复杂,劫持肯定是轮不到我了。的确,安全意识强的自然不容易被入侵,但那只对传统的病毒木马而已。而在流量劫持面前,几乎是人人平等的。网络安全与传统的系统安全不同,网络是各种硬件设备组合的整体,木桶效应尤为明显。即使有神一样的系统,一旦遇到猪一样的设备,你的安全等级瞬间就能被拉低。现在越来越流行便宜的小路由,你想过没有:你网上交易的流量都要经过它……

  即使你相信系统和设备都绝对可靠,就能高枕无忧了吗?事实上有问题的设备并不多,但出问题的事却不少,难道其中还存在什么缺陷?没错,还遗漏了最重要的一点:网络环境。

  如果网络环境里有黑客潜伏着,即使具备专业技术,也是在所难逃了,敌暗我明,稍不留神就会落入圈套。当然,苍蝇不叮无缝的蛋。有哪些隐患导致你的网络环境出现了裂缝?太多了,从古到今流行过的攻击方式数不胜数。甚至可以根据实际环境,自己创造一种。下面是我回忆中亲自尝试过的劫持案例,基本可以按照3个时代划分,也就是本篇的目录了:

 

上古时代

  ·Hub 嗅探
  ·MAC 欺骗
  ·MAC 冲刷
  ·ARP 攻击
  ·DHCP 钓鱼
  ·DNS 劫持
  ·CDN 入侵

中世纪

  ·路由器弱口令
  ·路由器 CSRF
  ·PPPoE 钓鱼
  ·蜜罐代理

工业时代

  ·WiFi 弱口令
  ·WiFi 伪热点
  ·WiFi 强制断线
  ·WLAN 基站钓鱼

 

■第一阶段:上古时代(一)

  Hub 嗅探

  集线器(Hub)这种设备如今早已销声匿迹了,即使在十年前也少有人用。作为早期的网络设备,它唯一的功能就是广播数据包:把一个接口的收到的数据包群发到所有接口上。且不吐槽那小得惊人的带宽,光是这转发规则就是多么的不合理。任何人能收到整个网络环境的数据,隐私安全可想而知。

000

  嗅探器成了那个时代的顶尖利器。只要配置好过滤器,不多久就能捕捉到各种明文数据,用户却没有任何防御对策。

  防范措施:还在用的赶紧扔了吧。
  作者备注:这种设备目前唯一可用之处就是旁路嗅探。利用广播的特性,可以非常方便分析其他设备的通信,例如抓取机顶盒的数据包而不影响正常通信。

  MAC 欺骗

  交换机的出现逐渐淘汰了集线器。交换机会绑定 MAC 地址和接口,数据包最终只发往一个终端。因此只要事先配置好 MAC 对应的接口,理论上非常安全了。

001

  不过,很少有人会那么做,大多为了偷懒,直接使用了设备默认的模式 —— 自动学习。设备根据某个接口发出的包,自动关联该包的源地址到此接口。

  然而这种学习并不智能,甚至太过死板,任何一个道听途说都会当作真理。用户发送一个自定义源 MAC 地址的包是非常容易的,因此交换机成了非常容易被忽悠的对象。只要伪造一个源地址,就能将这个地址关联到自己的接口上,以此获得受害者的流量。

002

  不过,受害者接着再发出一个包,绑定关系又恢复原先正常的。因此只要比谁发的频繁,谁就能竞争到这个 MAC 地址的接收权。如果伪造的是网关地址,交换机就误以为网关电缆插到你接口上,网络环境里的出站流量瞬间都到了你这里。

  当然,除非你有其他出站渠道,可以将窃取的数据代理出去;否则就别想再转发给被你打垮的真网关了,被劫持的用户也就没法上外网。所以这招危害性不是很大,但破坏性很强,可以瞬间集体断网。

  防范措施:机器固定的网络尽量绑定 MAC 和接口吧。貌似大多数网吧都绑定了 MAC 和接口,极大增强了链路层的安全性。同时,独立的子网段尽可能划分 VLAN,避免过大的广播环境。
  作者备注:大学里见过千人以上还不划分 VLAN 的,用一根短路网线就可以毁掉整个网络。

  MAC 冲刷

  之前说了集线器和交换机的转发区别。如果交换机发现一个暂时还未学习到的 MAC 地址,将会把数据包送往何处呢?为了不丢包,只能是广播到所有接口。

003

  如果能让交换机的学习功能失效,那就退化成一个集线器了。由于交换机的硬件配置有限,显然不可能无限多的记录地址对应条目。我们不停伪造不重复的源地址,交换机里的记录表很快就会填满,甚至覆盖原有的学习记录,用户的数据包无法正常转发,只能广播到所有接口上了。

004

  防范措施:还是 MAC 和接口绑定。一旦绑定,该接口只允许固定的源地址,伪造的自然就失效了。当然,好一点的交换机都有些策略,不会让一个接口关联过多的 MAC 地址。
  作者备注:曾经在家试过一次,捕捉到小区内用户上网的流量。不过伪造包发的太快,~15万包/秒,更致命的是发错目标地址,发到城域网准入服务器上,导致工作人员切断了整个小区半天的网络... 所以必须得选一个 VLAN 内的、并且实际存在的地址做为目标 MAC,以免产生大量的数据风暴。

 
比特币“10周年”了 你最大的感受是什么? 企业办公环境的最大杀手 文印的安全值得重视 同是原厂连供 四大喷墨厂商到底有何不同 深不可测的黑产 原来都是用这些工具搞事? 商务投影新标杆 明基无线智能旗舰E580评测
键盘也能翻页,试试“← →”键

为您推荐

加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多
加载更多

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品