流量劫持:揭秘运营商黑产流量劫持技术细节剖析
【温馨提醒】文章内容仅供参考,海外服务器租用\托管方案,请咨询YINGSOO客服,24小时免费电话400-630-3752
【热门主机】印尼vps租用丨英国vps丨新加坡vps价格丨美国 vps
【热搜问题】美国VPS主机怎么样?如何挑选美国VPS主机?
1. 概述
相信大家对流量劫持都很痛心,明明要下载游戏盒子,结果变为XX助手或者是葫芦娃,但是这种光明正大的流氓行为似乎是个烂摊子几乎没人管或者管不着,而且像蟑螂一样消灭不尽。
偶尔的劫持造成的伤害大家可能已经麻木,但这点伤害累积起来对受伤的正规公司而言可是会损失大量用户,遭受万点以上的冲击。如果各公司都去用那些手段来获取用户的话,会造成整个行业持续地畸形发展,就像如果所有老板都去炒房,还有谁去认真做实业呢?
知己知彼,我们要拒绝被劫持的话先要了解下一般有哪些手段,其实大概原理大家都有所了解,因为是明文传输,中间的小运营商可以在传输过程中插入小广告或者强制替换下载内容,要杜绝的话要上https加密,这些大理论大家都明白。
但如果要追问,要怎么插入小广告或者强制替换掉用户下载的文件呢?估计大部分it人士就只能说“他们有专业的设备做劫持”这样含糊的专业术语来糊弄一下了。更装一点的可能会列一个这样的表格给你:
我们常见的劫持一般是通过dns污染和旁路模式注入恶意的Http信息给用户。这次来个详细的技术教程,让普通用户也可以过过瘾,了解一下网络劫持相关的技术,包括多种方式的流量捕获和窃听劫持、弹广告等方面,体验下我们常说的中间人劫持,为以后的防范做准备-_-。
2. 捕获流量
中间人攻击要对用户进行网络劫持的话,首先需要有捕获对方流量的通道。捕获流量大概分为两类,一类是有交换机或者网关设备的权限,直接进行普通用户无法控制的劫持,另外一类是诱导使用Vpn或者进行ARp攻击这种旁门左道的方式,有一定的失败机率。
2.1 旁路镜像
最有效的是在网络设备这里进行旁路镜像,比如交换机的端口镜像、添加分光器等。
其中端口镜像的方式是成本最低的,直接在交换机这里取一份完整的数据到我们的设备,而且完全不影响原来的正常网络拓扑,用户毫无感知。
如图所示,在核心交换机这里插根网线和一台Linux服务器连接起来,然后用monitor session命令配置端口镜像即可。
有理由相信运营商的劫持基本都是添加一个旁路设备来做的。
2.2 Linux网关和wiFi
有些小办公点还是用的Linux做网关来替代出口路由器,用iptAbLes来做nAt处理,这种情况也是最好做的,直接在在iptAbLes上面即可控制用户流量了。如果手上没有网关设备,可以自行搭建个wiFi热点也行。
2.3 透明网桥
如果没权限登录网络设备进行旁路劫持,可以考虑用网桥的方式来捕获流量。准备个双网卡的机器,安装好bridge-utils套件,用brctl命令进行网卡绑定:
brctl addbr bri0brctl addif bri0 eth0brctl addif bri0 eth1
两个网卡不配置ip,配置里[在线测试]面加上bRidge="bri0",绑定好之后,两个网卡一进一出,一个直通的透明网桥就做好了,接入到任何网络拓扑里面就可以实现对流量的捕获和iptAbLes控制了。
上面几种情况的捕获流量需要比较大的设备权限,比如运营商的人,或者自行偷偷搬个机器到机房做网桥。
普通用户需要尝试的话可以用虚拟机或者下面几个方式来实现。
2.4 Vpn代理
Vpn和代理在国内比较流行,同时技术上也是最容易进行劫持的。
比如在Linux上系统搭建好vpn,然后用iptAbLes做nat转发,同时我们也可以在iptAbLes这里做些特殊处理,比如直接RediRect流量走向来控制,同理如果是用户用的翻墙代理的话也是可以直接用iptAbLes来处理,统一导入到下面说的mitmF环境即可。
2.5 ARp欺骗
在局域网时候如果主机没有安装一些安全软件绑定网关的mac地址时候,攻击者只需要运行一些特殊的软件即可进行arp欺骗。
Arp欺骗最好是在linux环境下做,因为可以当作一个网关,打开数据包的转发,在iptAbLes这里做一层nat即可让用户几乎无察觉到有攻击存在(有防ARp情况例外),比如用arpspoof命令进行arp欺骗:
arpspoof -i eth0 -t 192.168.2.111 192.168.2.1
这样对方192.168.2.111在寻找网关地址192.168.2.1的时候就会误以为攻击方是他要找的网关,然后流量就被我们捕获了。
这种攻击方式需要是局域网才可以完成,而且需要主机没有安装网络安全软件绑定网关arp才可以正常实现,还有一点就是用户有机率网络不稳定导致容易察觉到有攻击存在。
2.6 篡改dns
如果路由器有漏洞或者弱密码,可以有机率篡改用户dns,使域名流量经过解析之后直接转向我们自己的服务器来达到捕获用户流量的目的。
3. 流量处理(开始劫持)
捕获到流量之后,要做内容的窃听和劫持这里分为两个情况,一个是网关模式,另外一个是交换机旁路模式。
因为旁路方式的优点,我们生活中的劫持现象一般都是用旁路方式进行流量注入,我们不用专业设备来处理旁路流量,我们直接用python之类的软件实现。
下面来具体介绍怎么针对捕获的流量进行内容劫持。
3.1 网关模式
网关模式可以理解为数据包直接经过我们的设备,这个时候可以通过iptAbLes来控制用户的流量走向,直接转发到我[波兰物理服务器]们的恶意代理即可。
Http劫持
我们可以创建个代理,然后对其中的http协议的数据进行劫持修改,首先
需要手动把用户的80端口http流量导入到我们的程序里面:
-A pReRoUting -p tcp --dport 80 -j RediRect --to-ports 10000
然后用mitmf创建代理,比如把”买服务器”改为”买ipHone”,命令:
mitmf -i eth0 --replace --search-str “买服务器” --replace-str “买ipHone”
注意如果是新版的mitmf,语法已经变了,需要配置/etc/mitmf/mitmf.conf里面的Replace段,比如:
新版的mitmf如果有content-type的报错,需要把/usr/share/mitmf/plugins里面对应的插件里面的
修改为
然后客户端浏览器那里就对上述的字符串改为我们的目的字符串了,效果如下:
或者可以让其加载beef平台的js文件,然后用beef来实时控制浏览器行为了。
bdfproxy木马
bdfproxy可以对经过他的流量进行自动识别,识别到是下载动作时候就结合msfconsole进行下载的文件自动分拆,然后加入木马进行封装再传给用户,让用户从正常的通道也下载到含有木马的软件或者压缩包。
-A pReRoUting -p tcp --dport 80 -j RediRect --to-ports 10000
修改两处配置:
然后直接用bdfproxy启动即可。
注意,这里用户端下载的时候,获取到的http头部除了content-Length会变为新的长度值之外,别的头部都不会变,比如我们的ApK下载里面的md5值和etag值等,虽然头部校验是含有我们正确的头部,但是内容还是可能会变为别的。
案例如下图:
dns劫持
dns劫持在桥接方式下直接把53端口的流量重定向到我们的程序即可。
类似iptAbLes里面配置:
-A pReRoUting -p udp --dport 53 -j RediRect --to-ports 53
然后在上面启动dnschef欺骗程序,把指定的几个域名所有解析解析成192.0.2.1,其余的正常转发。
效果如图:
dnschef --nameservers=114.114.114.114 --fakeip=192.0.2.1 --fakedomains=*.taobao.org,*.taobao.com -i 0.0.0.0
用户端界面:
或者启动一个dnsmasq程序,把hosts指定好,同样是一个可以做dns劫持的好用工具,而且这种直接针对53端口的及时换了dns因为无法避免。
3.2 旁路模式
旁路模式在网络入侵检测或者是抓包窃听时候是最好用的,不影响原来的网络架构,旁路设备出问题也不会影响到原先的流量,因为配置了旁路之后,交换机只是把原先的流量复制一份到旁路设备,然后就不管了。
旁路设备可以自行对原有的返回流量进行注入,比如优先返回302到别的网站,或者返回Rst中断正常连接。
旁路配置
旁路监听的话很简单,比如cisco网络设备做端口镜像:
switch#conf t (进入全局配置模式)switch(config)#monitor session 1 desLucytion interface fastethernet 0/24(指定连接抓包主机的端口)switch(config)#monitor session 1 source interface f0/1 - 23 both(指定端口1-23,both是进出的包都抓)
这样可以在fa0/24端口上接收到别的端口的流量,然后在利用一些抓包工具比如wireshark来进行窃听。
Linux做网关时候直接在服务器上进行tcpdump抓包即可:
tcpdump –i any tcp port 80 –w 80.cap
如果是要对旁路抓到的数据包进行处理的话,比如进行劫持,原理也比较简单,可以做dns劫持或者http劫持,就是旁路设备抓到需要处理的对象之后,在正常数据包返回之前优先返回我们伪造的数据包给用户,而用户会丢弃之后正常返回的数据包,因为会话已经重复了。
在要进行劫持时候,需要在monitor session的目标接口的时候需要指定ingress vlan模式。
monitor session 1 source vlan 777monitor session 1 desLucytion interface gi1/3/23 ingress vlan 777monitor session 1 filter ip access-group 141
特别注意这个ingress参数,这个参数导致以前测试一直为成功,如果不加的话会导致旁路设备只可以接收数据而无法发送成功,也就无法对用户进行实际的内容影响了。
中断会话
中断会话这个功能效果就是类似于发送请求之后,我们可以在旁路把这个连接两端Rst断开会话。
工具是tcpkill这个命令。
比如设置好旁路之后,在eth0上面有所有有关目标用户的流量经过,然后运行命令:
tcpkill -i eth0 host 115.236.76.23
然后就无法正常连接到目标机器了。
图例:
会显示已经向两端发送了Rst请求重置连接了。
dns劫持
这个注入模式稍微高端点,比如在网桥上面也可以做,也可以在自己的dns服务器上实现。当然我们现在是在端口镜像的旁路时候:
比如网桥上面用dnsspoof来进行解析干扰解析:
dnsspoof -i eth0 -f hostfile
hostsfile里面的内容是类似hosts格式的解析,然后用户端进行解析的时候,这个程序会优先返回结果来干扰正常的解析返回,效果如下:
抓包可以看到这个伪造的结果比正常的dns返回先返回给了用户,这样就达到了欺骗效果:
可以看到8.8.8.8这条数据优先1.5毫秒返回给用户,然后用户就丢弃了后面的正常响应而使用经过我们篡改的dns结果。
http劫持
下面模拟下旁路劫持用户流量时候的302跳转和弹广告情况。
1. 302跳转
在旁路服务器上直接监听网卡然后注入Http数据,比如利用的是python的scapy模块,像github上的hijack.py脚本,简单修改下L2socket时候的filter匹配条件,格式和tcpdump医院,效果如下:
这个就是访问腾讯官网,然后被劫持到淘宝去了的效果。
抓包的结果也是这个302包就快那么点点优先返回给用户了:
2. 弹广告
原先网桥模式下面用mitmf插入js地址就可以实现右下角弹广告的效果。
现在旁路模式不行这样直接插入,需要对目标站点的某个Js文件进行篡改然后再返回才行。
但是一般的广告js比较长,不适合一次性以内容方式返回给用户,而是采用修改js的内容,然后用js再加载js的方式,而且是先加载个带版本号的正确js,然后再加入广告就是,参考内容如下:
也就是以前见到过玩家的js内容被修改了,然后加载了广告js的效果。
然后具体实现需要修改之前的hijack.py代码来做,比如先判断好我们需要劫持的js具体URL,然后给这个js返回我们的上面一段内容(jscode)即可。
劫持效果如下:
js的加载情况:
如果再加些逻辑处理,然后打包起来就可以是一个专业的劫持后台了。
4. 总结
随意劫持用户流量是非法而且非常恶心的事情,不过“技术无罪”,了解下其中的技术还是对我们的it工作中会有所帮助。
香港vps&美国vps哪个好
香港vps和美国vps常有分别的租赁优点,仅仅因为间距的缘故造成访问速度和可靠性会存有一定的区别。那麼,香港vps和美国vps到底哪家好呢?本公司这里就简易的来解析下。
第一、特性配备
大伙儿在选择的那时候,通常会见到美国vps的配备要高些,终究大部分美国服务器全是无限空间总流量的。而香港vps在这些方面全是有限定的。
实际上这一都是很一切正常的,美国是互联网技术的起源地,有着很多的資源和最新消息的技术性,在其中大网络带宽資源就是说最好是的印证。此外,美国服务器提供商十分多,因此市场竞争很猛烈,那样出示高配备美国vps毫无疑问会提高竞争能力。
第二、vps可靠性
香港vps和美国vps往往深[海外游戏服务器租用价格]受热烈欢迎,关键還是由于他们的服务器特性平稳。著名的香港vps和美国vps可以确保网站在线率99.9%,而且也有服务承诺沒有超过保证率全是能够退钱的。
但是,在应用美国vps时,将会感觉沒有香港vps的平稳,那由于美国vps的间距较为远,而香港vps间距近,并且还和中国ISP协作,因此香港vps可靠性相对性要高些。
第三、访问速度
网站建站进行毫无疑问必须一个好的访问速度的,此刻租赁香港vps還是美国vps访问速度快呢?本人感觉香港vps中国访问速度较为快,缺陷是网络带宽資源小。美国的网络带宽是足了,可是访问速度要慢一些,终究间距摆放在那。
因此单是从ping值上边而言,美国vpsping值要大点,大约在170ms上下,而香港vps的小些,基础在40ms上下。因而在选择时,最好是依据平台网站具体经营规模和浏览人群地理位置来选择。中国建网站能够选择香港vps,外贸网站建设能够选择美国vps。
第四、租赁性价比高
前边说到美国比较丰富并且服务器市场需求出现异常猛烈,因此美国vps不但配备高,并且价钱很低。而香港vps相对而言价钱还要贵一点。但是人们在选择服务器的那时候,不可以只看价钱,更关键的是考虑到服务器的速率和可靠性。
第五、售后服务技术咨询
实际上靠谱的著名服务器提供商,一般售后维修服务全是较为好的,包含出示24钟头免费在线顾客服务和服务支持等,基础可以在第一时间内处理客户的难题。
这儿应说的区别就是说語言难题,应用香港vps得话,在线客服大部分是汉语的,因此中国客户沟通交流起來较为便捷。而应用美国vps得话,提供的英文在线客服,因此针对英语不太好的客户沟通交流起來将会会较为费力
综上所述,香港vps和美国vps到底哪家好?实际上香港vps和美国vps常有分别的优点,本公司提议大伙儿尽[如何选择高防服务器]可能选择合适自身的服务器。左右就是说为大伙儿基本建设的香港vps和美国vps的几个点区别,大伙儿在选择时能够参照下。若有必须请联络本公司在线客服!
YINGSOO电话:400-630-3752
热门文章:【免备案空间怎么样】【购买海外云主机的步骤流程】【主机租用托管】【云服务器是什么】【服务器租用的费用会受到哪些因素的影响】【虚拟主机租用价格】【香港免备案建站】【租用美国服务器的四大理由】【视频app服务器】【租服务器一年多少钱】【湘潭数据中心】【魔兽怀旧服最有牌面的服务器】【内存服务器】【4日本私人vps】【电子商务网站】【韩国高速服务器租用技巧】【免备案空间免费申请】【美国服务器租用怎么样的选择才是合适的】【国内虚拟主机的优缺点】【网易被攻击】【台湾服务器具备哪些优势】【国内高防】【柬埔寨服务器租用】【俄罗斯云服务器意想不到的几点优势】【香港虚拟主机的访问速度及稳定性】【免备案月付香港服务器多少钱一个月】【用香港主机建个人网站怎么样】【云服务器有什么好处】【香港服务器租用优势介绍】【泰国服务器】
YINGSOO美国独享主机租用3天免费试用. 海外云主机品牌
好网络,不怕晒!美国独享主机租用免费试用,自主平台更可靠,海外云服务品牌2019年度美国独享主机租用销量再度破表,超过1200家企业共同的选择
https://www.yingsoo.com/products/cloud-us.html
好网络,不怕晒!美国主机中文免费试用,自主平台更可靠,海外云服务品牌2019年度美国主机中文销量再度破表,超过1200家企业共同的选择
https://www.yingsoo.com/products/cloud-us.html
版权声明:本站文章来源标注为YINGSOO的内容版权均为本站所有,欢迎引用、转载,请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站,禁止在非www.yingsoo.com所属的服务器上建立镜像,否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来,仅供学习参考,不代表本站立场,如有内容涉嫌侵权,请联系alex-e#qq.com处理。