选择特殊符号

选择搜索类型

热门搜索

首页 > 百科 > 建设工程百科

链路层劫持

链路层劫持是指第三方(可能是运营商、黑客)通过在用户至服务器之间,植入恶意设备或者控制网络设备的手段,侦听或篡改用户和服务器之间的数据,达到窃取用户重要数据(包括用户密码,用户身份数据等等)的目的。链路层劫持最明显的危害就是帐号、密码被窃取。

链路层劫持基本信息

链路层劫持原理详解

随着应用安全的发展,大家都比较关注应用安全漏洞,其实在应用层之下的传输层也有很多安全风险,而且这些安全风险正在被广泛利用。比如今天要给大家介绍的TCP链路劫持攻击。

TCP链路劫持其实就是指网络链路上侦听、伪造TCP包,达到控制目标网络链路的行为。最常见的就是某些设备实现的对非法站点的访问拦截,以及一些地区运营商的网页植入广告行为。

因为广域网的链路劫持影响面大,一般会影响一个地区甚至是全国,所以本文重点讨论广域网的TCP链路劫持,局域网的劫持如ARP攻击不在讨论范围。

发现的TCP链路劫持攻击一般有两种形式:中断访问型(分为单向发包和双向发包)和替换页面型。

中断访问型常见于阻止用户访问某些网站,如某些设备禁止用户访问某些站点、某地运营商的禁止ADSL多终端上网功能。其原理就是伪造服务端给用户发RST包阻止TCP连接的建立(单向发包)。某些设备做得比较狠,在冒充服务端给用户发RST包的同时也冒充用户给服务端发RST包(双向发包)。

替换页面型常见于运营商植入广告,也有篡改正常网页进行SEO、骗流量的。笔者见过最恶劣的莫过于钓鱼,如2011年出现过的Gmail钓鱼事件以及一些不能告诉你的钓鱼事件。原理也简单,就是在一个HTTP请求后伪造服务端的HTTP响应给客户端。

一次典型的TCP链路劫持替换页面,我们可以看到,TCP三次握手完成后,HTTP请求包发送后,客户端收到两个HTTP响应包,因为伪造的第一个包(10号)先到,所以第二个正常的HTTP响应包(13号)被客户端忽略了。很明显,在网络上有一个设备,侦听整个会话,当匹配某个特征就抢先发包劫持会话。

这些利用链路劫持进行的弹窗广告、“技术问题”产生的误拦截、植入代码不慎将页面弄乱、甚至是钓鱼等将会损害用户利益。笔者跟链路劫持的“不解之缘”就因此而起。

要解决链路劫持先要搞清楚是否是链路劫持,如是则出问题的大概位置在哪里。链路劫持是区域性的,一般来讲某地区用户集中投诉,就可以联系用户调查了。用户往往不懂Wireshark抓包,还要远程协助,如果网速慢就是悲剧……各种心酸且按下不表。

抓到可疑包之后关注两个关键点:TTL值和IP Id(Identification)。根据实际观测,伪造的TCP包的TTL值和Id是不符合逻辑的。

真实包的TTL是53,Id是按顺序自增的,而伪造的包的TTL是64,Id始终是0。还有,笔者也见过某地运营商禁止ADSL多终端上网功能会伪造Id值恒为8888的RST包。

通过伪造的TTL值就可以大致定位侦听设备的位置。利用伪造的数据包的TTL值加上当时用户的路由即可定位:数据包每经过一个路由TTL值就会减一,我们找到假的包,看他的TTL(一般初始发出的TTL是256或128或64)减了多少,反推回去就找到出问题的位置了。

刚刚那个截图,伪造的的TCP包TTL值是64,也就是可以推测出链路劫持就发生在局域网内。的确如此,这个case是一个路由器软件进行链路劫持的案例。

有个问题,如果攻击者聪明一些,伪造包定制一个TTL值,就会导致我们难以精确定位。比如某些设备会发三次RST包,每次的TTL都不一样。注意,我说的“难以定位”并非“不能定位”,还是有办法的,需要动动脑子。

坏人是很多的,不能每次都被动等待用户投诉,如何主动发现链路劫持呢?

客户端访问目标站点的时候,同一个TCP会话的TTL值发生较大变动,就可以判定为疑似劫持。以下python代码就是一个利用Scapy检测TCP链路劫持的示例:

#!/bin/python# # import sysfrom scapy.all import * conf.verb=0print "TCP Hijacking Delector by lake2"print "[ ] Sniffing ...."ip_arr = {}while 1: a=sniff( filter="tcp and src host not 10.26.234.44", count=50) for b in a: ip_src = b.sprintf(r"%IP.src%") ip_ttl = b.sprintf(r"%IP.ttl%") if ip_arr.has_key(ip_src): c = int(ip_ttl) - int(ip_arr[ip_src]) if abs(c) > 4: print ip_src " has been hijacking !!! debug info : " str(ip_ttl) " <-> " str(ip_arr[ip_src]) else: ip_arr[ip_src] = ip_ttl print "=>"

检测到某些设备拦截笔者在Google搜索敏感关键字的链路劫持:

双向RST的情况,部署在机房的IDS也可以发现端倪。

如果是替换页面型攻击,页面hash或者HTML元素个数会有异常,这里也可以作为一个检测点。

防范链路劫持就比较困难,毕竟攻击者控制着网络链路。不过并非不可能。

一是网站全程使用SSL。

再一个就是在客户端或(和)服务器丢弃伪造的TCP包。比如前面说到的单向中断访问型攻击,就可以丢弃包含伪造特征的TCP包(如Id为0或8888)。某些项目就是利用客户端、服务端同时丢弃的方式来翻墙的。

最后,我们可以看到广域网一点都不安全,所以敏感信息传输一定要加密,还要高强度加密;高端网页最好有个校验机制;自动升级的程序也一定要校验文件签名。

查看详情

链路层劫持造价信息

  • 市场价
  • 信息价
  • 询价

HDPE建筑水虹吸同管材

  • 规格(mm):dn50×3.0,管系:S12.5,系列:虹吸、同排水系列,用途:PE
  • m
  • 盟大
  • 13%
  • 浙江盟大塑业有限公司
  • 2022-12-08
查看价格

HDPE建筑水虹吸同管材

  • 规格(mm):dn50×3.0,管系:S12.5,系列:虹吸、同排水系列,用途:PE
  • m
  • 盟大
  • 13%
  • 浙江盟大塑业有限公司
  • 2022-12-08
查看价格

泄压/F压阀

  • 500X1.0/1.6 DN150
  • 冠龙
  • 13%
  • 上海冠龙阀门机械有限公司南宁办事处
  • 2022-12-08
查看价格

泄压/F压阀

  • 500X1.0/1.6 DN350
  • 冠龙
  • 13%
  • 上海冠龙阀门机械有限公司南宁办事处
  • 2022-12-08
查看价格

泄压/F压阀

  • 500X1.0/1.6 DN500
  • 冠龙
  • 13%
  • 上海冠龙阀门机械有限公司南宁办事处
  • 2022-12-08
查看价格

网络版拓展型六色报警系统

  • 1、报警类型:脱逃、暴狱、劫持、袭击、灾害、突发,一键紧急报警;;
  • 1台
  • 1
  • 中高档
  • 含税费 | 含运费
  • 2020-02-13
查看价格

无线报警接收主机

  • 1、 报警类型:支持逃脱、暴狱、劫持、袭击、灾害、突发等多种警情;
  • 2台
  • 1
  • 中高档
  • 含税费 | 含运费
  • 2020-02-13
查看价格

网络版拓展型六色报警系统

  • 1、报警类型:脱逃、暴狱、劫持、袭击、灾害、突发,一键紧急报警;
  • 4台
  • 1
  • 中高档
  • 含税费 | 含运费
  • 2020-02-13
查看价格

网络版拓展型六色报警系统

  • 报警类型:脱逃、暴狱、劫持、袭击、灾害、突发,一键紧急报警;
  • 1台
  • 1
  • 中高档
  • 含税费 | 含运费
  • 2020-02-13
查看价格

A门综合管理控制台

  • 支持 5 种分类报警:脱逃、暴狱、劫持、袭击、灾害,1 个一键报警;支持 2 路电话通讯,可以接武警内线、监所内线;支持与值班室、其他哨位网络语音 对讲;支持子弹箱本地钥匙开启、远程控制功能;支持子弹箱控制信号网络
  • 1台
  • 1
  • 中高档
  • 含税费 | 含运费
  • 2022-06-07
查看价格

链路层劫持防御

从链路层劫持的原理来看,我们发现核心的问题是:客户端没有办法识别返回的应答是否真的是服务器返回的,还是第三方返回的,所以简单的信任了第三方的应答,丢弃了真正的应答。所以只要对服务器本身进行身份验证,就可以防止“误接受”恶意应答。

HTTPS技术就是为此种场景而生,通过一个权威机构,派发证明服务器合法身份的证书,用户的电脑通过检查证书的合法性,来辨别服务器的真假(因为第三方黑客不可能伪造证书)。

因此,HTTPS网站能有效防御链路层劫持。腾讯统一安全登录就是用采用了HTTPS技术,来防止链路层劫持。

查看详情

链路层劫持常见问题

查看详情

链路层劫持文献

CH3-5ed数据链路层3-问题与控制-3ed CH3-5ed数据链路层3-问题与控制-3ed

CH3-5ed数据链路层3-问题与控制-3ed

格式:pdf

大小:4.6MB

页数: 47页

CH3-5ed数据链路层3-问题与控制-3ed

计算机网络中交换机数据链路层安全性设计 计算机网络中交换机数据链路层安全性设计

计算机网络中交换机数据链路层安全性设计

格式:pdf

大小:4.6MB

页数: 未知

计算机网络中交换机是在核心层、汇聚层、接入层起关键作用的设备,起到数据流量的承载运输任务,在二层和三层协议上运行,网络安全离不开交换机安全的设计,本文着重讨论了交换机在链路层的安全设计,有效地将风险抵御在二层网络边界外,保护系统不受侵入。

Xilinx FPGA高速串行传输技术与应用文摘

当上层协议请求组建FIS时,传输层完成以下功能:

(1)根据FIS请求类型收集FIS内容;

(2)按照正确的顺序存放FIS内容;

(3)通知链路层需要传输的帧,并将FIS发往链路层;

(4)管理缓存/FIFO,通知链路进行流控;

(5)接收来自链路层的帧接收应答;

(6)对于上层请求,返回完成发送或错误状态。

当从链路层接收到FIS时,传输层提供以下功能:

(1)接收来自链路层的FIS;

(2)检测FIS类型;

(3)根据FIS类型将FIS内容分发到不同位置;

(4)对于主机端传输层,接收到FIS后可能需要组建一个FIS返回到设备端。

(5)对于上层请求,返回完成或错误状态。

3)链路层

链路层负责发送和接收帧,根据传输层的控制信号发送原语,从物理层接收已经转换成控制信号的原语发送给传输层。链路层并不关注所传输帧的内容。主机端和设备端的链路层状态机相似,但如果两端同时进行发送,则设备端具有较高的优先级。

当传输层请求发送帧时,链路层实现如下功能:

(1)与对等链路层进行协商,避免主机和设备同时请求发送数据而造成冲突;

(2)向传输层数据(如SOFp、CRC、EOFp等)插入帧头、帧尾和校验等信息;

(3)从传输层以双字为单位接收数据,并计算数据的CRC校验,进行8b/10b编码、扰码;

(4)传输帧,并根据对等链路层或者FIFO的请求数量进行流量控制;

(5)接收对等链路层的帧接收信息,并向传输层报告传输完成或链路层、物理层传输错误。

查看详情

安全检查目的

根据关于制止和防范非法劫持航空器行为的国际公约的规定,凡缔约国都应根据国际法和国内法,采取一切必要和可能的措施,有效地防止危害航空安全的非法行为的发生,严厉惩罚和打击犯罪行为。所以对旅客进行安全检查,是为了保障旅客本身的安全,防止非法劫持航空器事件的发生。

查看详情

一建机电工程考点:出入口控制系统调试检测

1)对各种读卡机在使用不同类型的卡(如通用卡、定时卡、失效卡、黑名单卡、加密卡、防劫持卡等)时,调试其开门、关门、提示、记忆、统计、打印等判别与处理功能。

2)调试出入口控制系统与报警、电子巡查等系统间的联动或集成功能。

3)对采用各种生物识别技术装置(如指纹、掌形、视网膜、声控及其复合技术)的出入口控制系统的调试,应按系统设计文件及产品说明书进行。

查看详情

相关推荐

立即注册
免费服务热线: 400-888-9639