亚洲综合极品香蕉久久网,久久夜精品综合缴情五月 ,亚洲动漫成人一区二区,国产在线不卡视频,国产丝袜精品不卡,亚洲乱码日产精品bd,久久久久久国产精品免费网站,亚洲综合av一区二区三区
×
新網 > 建站推廣 > 正文

電商網站流量劫持案例分析與思考(一)

  • 作者:新網
  • 來源:新網
  • 瀏覽:100
  • 2018-03-16 17:36:59

我們都知道之前騰訊與京東建立了戰略合作關系,很多人都會選擇京東來購買一些電器等。我發現某天在家里訪問京東首頁的時候突然吃驚地發現瀏覽器突然跳到了第三方網站再回到京東,這就是典型的中病毒了。

<div>我們都知道之前騰訊與京東建立了戰略合作關系,很多人都會選擇京東來購買一些電器等。我發現某天在家里訪問京東首頁的時候突然吃驚地發現瀏覽器突然跳到了第三方網站再回到京東,這就是典型的中病毒了。

141803058630.gif
竟然有這樣的事,一定要把木馬大卸八塊。
原因排查
首先在重現的情況下抓包,京東官網確實返回了一段JavaScript讓瀏覽器跳轉到了yiqifa.com
服務器返回的代碼導致跳轉,基本可以排除本地木馬,推測是網絡或者服務器的問題。根據筆者的經驗,這種情況很大可能是鏈路上的流量劫持攻擊。當然也不能排除京東服務器被黑的情況。
繼續排查。應用層已經不行了,我們要用Wireshark抓網絡層的包。
從Wireshark結果可以看到,網絡上出現了兩個京東的HTTP響應。第一個先到,所以瀏覽器執行里面的JavaScript代碼轉到了yiqifa.com;第二個HTTP響應由于晚到,被系統忽略(Wireshark識別為out-of-order)。
兩個京東的HTTP響應包,必然一真一假。快揭示真相了。
再來看看兩個HTTP響應的IP頭。
第一個包TTL值是252,第二個包TTL值是56,而之前TCP三次握手時京東服務器的TTL值是56,故可以判斷先到的包是偽造的,真的包晚到而被系統忽略。
至此,確認是鏈路上的劫持。
攻擊方式
繼續分析偽造的數據包。
偽造包的TTL值是252,也就是說它的原始TTL值應該是255(大于252的系統默認TTL值只能是255了,一般不會修改),也就表明攻擊者的設備離我隔了3個路由;而正常的京東網站的HTTP響應TTL值是56,隔了8個路由。物理上假的設備離我近,所以偽造的HTTP響應會先到——比較有意思的是,筆者實際監測時候發現也有偽造包晚到導致劫持失敗的情況。
推測是一個旁路設備偵聽所有的數據包,發現請求京東首頁的HTTP請求就立即返回一個定制好的HTTP響應。
 
 
 

免責聲明:本文內容由互聯網用戶自發貢獻自行上傳,本網站不擁有所有權,也不承認相關法律責任。如果您發現本社區中有涉嫌抄襲的內容,請發送郵件至:operations@xinnet.com進行舉報,并提供相關證據,一經查實,本站將立刻刪除涉嫌侵權內容。

免費咨詢獲取折扣

Loading
主站蜘蛛池模板: 亚洲第一页综合图片自拍| 精品综合久久久久久888| 久久久久国产精品人妻电影| 亚洲爆乳成av人在线蜜芽| 亚洲熟女乱色综合一区小说| 国产免费久久精品国产传媒| 熟妇无码熟妇毛片| 国产在线精品无码不卡手机免费| 久久综合九色综合网站| 亚洲国产成人精品无码区在线网站| 久久婷婷五月综合色和啪| 亚洲免费国产午夜视频| 青草青草久热国产精品| 国产精品午夜无码av天美传媒| 亚洲国产av一区二区三区丶| 永久久久免费人妻精品| 亚洲色大成网站在线| 麻豆国产97在线 | 中国| 亚洲毛片不卡av在线播放一区| 国产亚洲精品俞拍视频| 免费真人h视频网站无码| 久久婷婷五月综合色国产免费观看| 99国产欧美另娄久久久精品| 精品国产亚洲第一区二区三区| 成人片国产精品亚洲| 日本久久久久亚洲中字幕| 亚洲综合久久成人a片红豆| 久久性色av亚洲电影| 国产最新精品自产在线观看| 色偷一区国产精品| 老男人久久青草av高清| 亚洲跨种族黑人xxxxx| 无码国产精品一区二区vr| 亚洲超碰无码色中文字幕97| 成人国产精品一区二区网站| 国产成人av在线播放不卡| 未满十八18禁止午夜免费网站| 欧美乱人伦人妻中文字幕| 国内揄拍国内精品人妻浪潮av| 日韩在线视频一区二区三| 国产亚洲久久久久久久|