-
-
国外安全研究员:中国ISP将用户的合法流量劫持至恶意(广告/恶意软件)站点
-
发表于: 2016-3-1 18:41
-
新闻链接:http://www.freebuf.com/news/97497.html
新闻时间:2016-03-01
新闻正文
据了解,有三名以色列的研究人员发现,中国的互联网服务提供商(中国电信和中国联通)正在向用户的通信数据包中注入某些内容。
FreeBuf小科普:
ISP(Internet Service Provider),互联网服务提供商,即向广大用户综合提供互联网接入业务、信息业务、和增值业务的电信运营商。
这两家互联网服务提供商通过设置代理服务器来对其客户端的网络系统进行“污染”,并将其客户的网络访问流量定向至广告链接和恶意软件之上。
当用户访问某一由上述互联网服务提供商所加载的域名时,系统会改变数据包的目标传输地址,并会将用户的浏览器重定向,然后去对流氓网络的路由地址进行解析。而结果就是,原始的网络流量会被重定向至加载了广告和恶意软件的恶意站点。
在他们所发表的文章中,研究人员对互联网服务提供商的这种操作手段和攻击方式进行了详细的分析,并且向大家解释了互联网服务提供商是如何监视用户的网络通讯信息,并修改数据包的URL目的地址的。
这些互联网服务提供商使用了两种注入技术,第一项技术为“Out of Band TCP Injection”,另一项技术为“HTTPInjection”。即TCP带外数据注入和HTTP注入。
利用TCP带外数据注入技术,网络运营商可以用伪造的数据包取代合法的数据包,并将恶意数据包发送给用户。这也就意味着,互联网服务提供商可以克隆用户合法的通讯信息,并将合法的数据包和克隆的数据包一起发送至用户的目标地址。
目标地址将会接收到两份来自于源地址的通讯信息流,即合法数据包和克隆数据包,但是只有一个数据包能够首先到达。如果合法数据包先到达目标主机,那么将会一切正常,什么危险的事情都不会发生。如果克隆数据包先抵达目标主机,那么用户将会遇到非常严重的问题。
利用HTTP注入技术,网络运营商可以向Web客户端注入伪造的HTTP响应信息。HTTP是一种无状态的客户端-服务器协议,并使用TCP作为其传输层协议。
HTTP交换是从客户端发送HTTP请求开始的,通常情况下会接收到一个带有请求信息的URI。在处理完这个请求之后,服务器会发送一个带有状态码的HTTP响应信息。用户可能会接收到下列形式的响应信息:
l 200(成功):服务器已经成功接收,识别,并接受请求信息。这种类型的响应信息通常会包含有请求资源。
l 302(重定向):请求资源将会暂时驻留在另一个URI之中。这种类型的响应信息通常会包含一个位置header域,并携带有不同的URI信息。
研究人员表示:
“一个HTTP客户端在发送了一个请求信息之后,只能接收一个HTTP响应信息。正如我们在之前所提到的,用户将有可能接收到一个伪造的HTTP响应信息,当TCP层接收到这一信息时,将会接受其中的第一个数据段。”
除此之外,研究人员还收集了大量的证据,并发现了伪造数据包的始作俑者。
他们发现,互联网服务提供商与广告网站之间存在着一种肮脏的利益关系,他们一同合作并创造出了大量的广告收益,然后双方就可以对这些收入进行分摊。
在调查过程中,研究人员还检测到了大量被重定向的通信数据,而这些均与他们的这种合作伙伴关系有关。
即使这种事情只发生在中国,但是全世界所有的用户都将有可能受到影响。因为,如果你想要访问中国的某个网站,那么你的网络信息就需要流经某国的互联网服务提供商。这样一来,你的通信数据将有可能被注入广告或者恶意软件。
那么,我们该如何监测这些恶意的数据包呢?
IP地址鉴定
伪造的数据包可以伪装成一个合法的数据包,但是我们可以利用每一个数据包中的时间戳来进行分辨。所以我们可以利用“时间戳”这一信息来帮助我们分辨恶意的数据包。
研究人员说到:“我们制定了以下规则,这些规则能够帮助我们分辨出哪一个数据包是伪造的:在伪造数据包的识别值与正常数据包的识别值之间,绝对值相差较大。”
TTL(生存时间值)
研究人员表示:“在服务器接收到的数据包中,其IP的TTL值取决于发送者所设置的初始值以及数据包在传输过程中所经过的路由跳数。因此,通常情况下,同一会话进程中的数据包抵达客户端的时候,其TTL值会有所不同。所以,如果当两个数据包处于竞争状态的话,我们就可以利用TTL值来对其进行区分了。我们从观察中得出,网络运营商在注入恶意实体的时候,往往并不会去修改数据包中的TTL值,所以伪造数据包中的TTL值与服务器所发送的其他数据包并没有多大的区别。与IP地址识别的情况类似,其规则大体上是一样的,只是这一次我们使用的是TTL值来进行对比。
时序分析
由于伪造数据包与合法数据包之间的竞争关系,我们就可以利用数据包的到达时间来对数据包的特点进行区分。我们所说的到达时间指的是数据包被网络监控系统捕捉到的时间。由于距离目标主机最近的边缘网络系统能够捕捉到通信数据包,那么我们就可以假设这些数据包到达边缘网络设备的时间与其真正到达终端目标主机的时间是相近的。就我们所发现的这些注入事件来分析,我们对伪造数据包以及合法数据包的到达时间进行了计算和区别。两者的到达时间之差为负差值时,这意味着主机接收到的是伪造的数据包;如果差值为正差值时,那么主机接收到的就是合法的数据包。
如何缓解这一安全风险?
能够避免这类攻击的最好方式就是访问支持HTTPS安全传输协议的网站,因为这类网站通常能够屏蔽掉恶意的URL地址。因此,网站的管理员也可以使用HTTPS来避免网站遭受这种类型的攻击。
扩展阅读:
腾讯科技:流量劫持是“中国特色”竞争方式
网易科技:“流量劫持”行为的罪与罚
乌云:今天,你被运营商 “上” 了么?
2013年年底至2014年10月,陕西人付某和广东人黄某租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时,跳转至其设置的“5w.com”导航网站。两人再将获取的互联网用户流量出售给“5w.com”导航网站的所有者杭州久尚科技有限公司。“2345.com”网站察觉后向警方报案,上海警方于2014年10月立案调查。2015年11月,上海浦东法院审理此案后认为,被告人付某、黄某均已构成破坏计算机信息系统罪,因被告人付某、黄某具有自首情节,可减轻处罚,被判有期徒刑3年,缓刑3年。这是全国首起“流量劫持”刑案。
《刑法》第二百八十六条规定:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
我国反不正当竞争法明确规定:经营者在市场交易中,应当遵循自愿、平等、公平、诚实信用的原则,遵守公认的商业道德。
近年来,互联网行业频频发生的“流量劫持”、客户端干扰、商业抄袭、软件拦截等行为,严重影响网民对互联网的正常使用和自由选择,也损害了相关经营者的合法权益,扰乱市场秩序,不利于互联网行业的创新和健康发展。
新闻时间:2016-03-01
新闻正文
据了解,有三名以色列的研究人员发现,中国的互联网服务提供商(中国电信和中国联通)正在向用户的通信数据包中注入某些内容。
FreeBuf小科普:
ISP(Internet Service Provider),互联网服务提供商,即向广大用户综合提供互联网接入业务、信息业务、和增值业务的电信运营商。
这两家互联网服务提供商通过设置代理服务器来对其客户端的网络系统进行“污染”,并将其客户的网络访问流量定向至广告链接和恶意软件之上。
当用户访问某一由上述互联网服务提供商所加载的域名时,系统会改变数据包的目标传输地址,并会将用户的浏览器重定向,然后去对流氓网络的路由地址进行解析。而结果就是,原始的网络流量会被重定向至加载了广告和恶意软件的恶意站点。
在他们所发表的文章中,研究人员对互联网服务提供商的这种操作手段和攻击方式进行了详细的分析,并且向大家解释了互联网服务提供商是如何监视用户的网络通讯信息,并修改数据包的URL目的地址的。
这些互联网服务提供商使用了两种注入技术,第一项技术为“Out of Band TCP Injection”,另一项技术为“HTTPInjection”。即TCP带外数据注入和HTTP注入。
利用TCP带外数据注入技术,网络运营商可以用伪造的数据包取代合法的数据包,并将恶意数据包发送给用户。这也就意味着,互联网服务提供商可以克隆用户合法的通讯信息,并将合法的数据包和克隆的数据包一起发送至用户的目标地址。
目标地址将会接收到两份来自于源地址的通讯信息流,即合法数据包和克隆数据包,但是只有一个数据包能够首先到达。如果合法数据包先到达目标主机,那么将会一切正常,什么危险的事情都不会发生。如果克隆数据包先抵达目标主机,那么用户将会遇到非常严重的问题。
利用HTTP注入技术,网络运营商可以向Web客户端注入伪造的HTTP响应信息。HTTP是一种无状态的客户端-服务器协议,并使用TCP作为其传输层协议。
HTTP交换是从客户端发送HTTP请求开始的,通常情况下会接收到一个带有请求信息的URI。在处理完这个请求之后,服务器会发送一个带有状态码的HTTP响应信息。用户可能会接收到下列形式的响应信息:
l 200(成功):服务器已经成功接收,识别,并接受请求信息。这种类型的响应信息通常会包含有请求资源。
l 302(重定向):请求资源将会暂时驻留在另一个URI之中。这种类型的响应信息通常会包含一个位置header域,并携带有不同的URI信息。
研究人员表示:
“一个HTTP客户端在发送了一个请求信息之后,只能接收一个HTTP响应信息。正如我们在之前所提到的,用户将有可能接收到一个伪造的HTTP响应信息,当TCP层接收到这一信息时,将会接受其中的第一个数据段。”
除此之外,研究人员还收集了大量的证据,并发现了伪造数据包的始作俑者。
他们发现,互联网服务提供商与广告网站之间存在着一种肮脏的利益关系,他们一同合作并创造出了大量的广告收益,然后双方就可以对这些收入进行分摊。
在调查过程中,研究人员还检测到了大量被重定向的通信数据,而这些均与他们的这种合作伙伴关系有关。
即使这种事情只发生在中国,但是全世界所有的用户都将有可能受到影响。因为,如果你想要访问中国的某个网站,那么你的网络信息就需要流经某国的互联网服务提供商。这样一来,你的通信数据将有可能被注入广告或者恶意软件。
那么,我们该如何监测这些恶意的数据包呢?
IP地址鉴定
伪造的数据包可以伪装成一个合法的数据包,但是我们可以利用每一个数据包中的时间戳来进行分辨。所以我们可以利用“时间戳”这一信息来帮助我们分辨恶意的数据包。
研究人员说到:“我们制定了以下规则,这些规则能够帮助我们分辨出哪一个数据包是伪造的:在伪造数据包的识别值与正常数据包的识别值之间,绝对值相差较大。”
TTL(生存时间值)
研究人员表示:“在服务器接收到的数据包中,其IP的TTL值取决于发送者所设置的初始值以及数据包在传输过程中所经过的路由跳数。因此,通常情况下,同一会话进程中的数据包抵达客户端的时候,其TTL值会有所不同。所以,如果当两个数据包处于竞争状态的话,我们就可以利用TTL值来对其进行区分了。我们从观察中得出,网络运营商在注入恶意实体的时候,往往并不会去修改数据包中的TTL值,所以伪造数据包中的TTL值与服务器所发送的其他数据包并没有多大的区别。与IP地址识别的情况类似,其规则大体上是一样的,只是这一次我们使用的是TTL值来进行对比。
时序分析
由于伪造数据包与合法数据包之间的竞争关系,我们就可以利用数据包的到达时间来对数据包的特点进行区分。我们所说的到达时间指的是数据包被网络监控系统捕捉到的时间。由于距离目标主机最近的边缘网络系统能够捕捉到通信数据包,那么我们就可以假设这些数据包到达边缘网络设备的时间与其真正到达终端目标主机的时间是相近的。就我们所发现的这些注入事件来分析,我们对伪造数据包以及合法数据包的到达时间进行了计算和区别。两者的到达时间之差为负差值时,这意味着主机接收到的是伪造的数据包;如果差值为正差值时,那么主机接收到的就是合法的数据包。
如何缓解这一安全风险?
能够避免这类攻击的最好方式就是访问支持HTTPS安全传输协议的网站,因为这类网站通常能够屏蔽掉恶意的URL地址。因此,网站的管理员也可以使用HTTPS来避免网站遭受这种类型的攻击。
扩展阅读:
腾讯科技:流量劫持是“中国特色”竞争方式
网易科技:“流量劫持”行为的罪与罚
乌云:今天,你被运营商 “上” 了么?
2013年年底至2014年10月,陕西人付某和广东人黄某租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,进而使用户登录“2345.com”等导航网站时,跳转至其设置的“5w.com”导航网站。两人再将获取的互联网用户流量出售给“5w.com”导航网站的所有者杭州久尚科技有限公司。“2345.com”网站察觉后向警方报案,上海警方于2014年10月立案调查。2015年11月,上海浦东法院审理此案后认为,被告人付某、黄某均已构成破坏计算机信息系统罪,因被告人付某、黄某具有自首情节,可减轻处罚,被判有期徒刑3年,缓刑3年。这是全国首起“流量劫持”刑案。
《刑法》第二百八十六条规定:违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处5年以下有期徒刑或者拘役;后果特别严重的,处5年以上有期徒刑。违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。
我国反不正当竞争法明确规定:经营者在市场交易中,应当遵循自愿、平等、公平、诚实信用的原则,遵守公认的商业道德。
近年来,互联网行业频频发生的“流量劫持”、客户端干扰、商业抄袭、软件拦截等行为,严重影响网民对互联网的正常使用和自由选择,也损害了相关经营者的合法权益,扰乱市场秩序,不利于互联网行业的创新和健康发展。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
