鏈路層劫持原理詳解

隨著應(yīng)用安全的發(fā)展，大家都比較關(guān)注應(yīng)用安全漏洞，其實(shí)在應(yīng)用層之下的傳輸層也有很多安全風(fēng)險(xiǎn)，而且這些安全風(fēng)險(xiǎn)正在被廣泛利用。比如今天要給大家介紹的TCP鏈路劫持攻擊。

TCP鏈路劫持其實(shí)就是指網(wǎng)絡(luò)鏈路上偵聽、偽造TCP包，達(dá)到控制目標(biāo)網(wǎng)絡(luò)鏈路的行為。最常見的就是某些設(shè)備實(shí)現(xiàn)的對非法站點(diǎn)的訪問攔截，以及一些地區(qū)運(yùn)營商的網(wǎng)頁植入廣告行為。

因?yàn)閺V域網(wǎng)的鏈路劫持影響面大，一般會(huì)影響一個(gè)地區(qū)甚至是全國，所以本文重點(diǎn)討論廣域網(wǎng)的TCP鏈路劫持，局域網(wǎng)的劫持如ARP攻擊不在討論范圍。

發(fā)現(xiàn)的TCP鏈路劫持攻擊一般有兩種形式：中斷訪問型（分為單向發(fā)包和雙向發(fā)包）和替換頁面型。

中斷訪問型常見于阻止用戶訪問某些網(wǎng)站，如某些設(shè)備禁止用戶訪問某些站點(diǎn)、某地運(yùn)營商的禁止ADSL多終端上網(wǎng)功能。其原理就是偽造服務(wù)端給用戶發(fā)RST包阻止TCP連接的建立（單向發(fā)包）。某些設(shè)備做得比較狠，在冒充服務(wù)端給用戶發(fā)RST包的同時(shí)也冒充用戶給服務(wù)端發(fā)RST包（雙向發(fā)包）。

替換頁面型常見于運(yùn)營商植入廣告，也有篡改正常網(wǎng)頁進(jìn)行SEO、騙流量的。筆者見過最惡劣的莫過于釣魚，如2011年出現(xiàn)過的Gmail釣魚事件以及一些不能告訴你的釣魚事件。原理也簡單，就是在一個(gè)HTTP請求后偽造服務(wù)端的HTTP響應(yīng)給客戶端。

一次典型的TCP鏈路劫持替換頁面，我們可以看到，TCP三次握手完成后，HTTP請求包發(fā)送后，客戶端收到兩個(gè)HTTP響應(yīng)包，因?yàn)閭卧斓牡谝粋€(gè)包（10號）先到，所以第二個(gè)正常的HTTP響應(yīng)包（13號）被客戶端忽略了。很明顯，在網(wǎng)絡(luò)上有一個(gè)設(shè)備，偵聽整個(gè)會(huì)話，當(dāng)匹配某個(gè)特征就搶先發(fā)包劫持會(huì)話。

這些利用鏈路劫持進(jìn)行的彈窗廣告、“技術(shù)問題”產(chǎn)生的誤攔截、植入代碼不慎將頁面弄亂、甚至是釣魚等將會(huì)損害用戶利益。筆者跟鏈路劫持的“不解之緣”就因此而起。

要解決鏈路劫持先要搞清楚是否是鏈路劫持，如是則出問題的大概位置在哪里。鏈路劫持是區(qū)域性的，一般來講某地區(qū)用戶集中投訴，就可以聯(lián)系用戶調(diào)查了。用戶往往不懂Wireshark抓包，還要遠(yuǎn)程協(xié)助，如果網(wǎng)速慢就是悲劇……各種心酸且按下不表。

抓到可疑包之后關(guān)注兩個(gè)關(guān)鍵點(diǎn)：TTL值和IP Id（Identification）。根據(jù)實(shí)際觀測，偽造的TCP包的TTL值和Id是不符合邏輯的。

真實(shí)包的TTL是53，Id是按順序自增的，而偽造的包的TTL是64，Id始終是0。還有，筆者也見過某地運(yùn)營商禁止ADSL多終端上網(wǎng)功能會(huì)偽造Id值恒為8888的RST包。

通過偽造的TTL值就可以大致定位偵聽設(shè)備的位置。利用偽造的數(shù)據(jù)包的TTL值加上當(dāng)時(shí)用戶的路由即可定位：數(shù)據(jù)包每經(jīng)過一個(gè)路由TTL值就會(huì)減一，我們找到假的包，看他的TTL（一般初始發(fā)出的TTL是256或128或64）減了多少，反推回去就找到出問題的位置了。

剛剛那個(gè)截圖，偽造的的TCP包TTL值是64，也就是可以推測出鏈路劫持就發(fā)生在局域網(wǎng)內(nèi)。的確如此，這個(gè)case是一個(gè)路由器軟件進(jìn)行鏈路劫持的案例。

有個(gè)問題，如果攻擊者聰明一些，偽造包定制一個(gè)TTL值，就會(huì)導(dǎo)致我們難以精確定位。比如某些設(shè)備會(huì)發(fā)三次RST包，每次的TTL都不一樣。注意，我說的“難以定位”并非“不能定位”，還是有辦法的，需要?jiǎng)觿?dòng)腦子。

壞人是很多的，不能每次都被動(dòng)等待用戶投訴，如何主動(dòng)發(fā)現(xiàn)鏈路劫持呢？

客戶端訪問目標(biāo)站點(diǎn)的時(shí)候，同一個(gè)TCP會(huì)話的TTL值發(fā)生較大變動(dòng)，就可以判定為疑似劫持。以下python代碼就是一個(gè)利用Scapy檢測TCP鏈路劫持的示例：

#!/bin/python# # import sysfrom scapy.all import * conf.verb=0print "TCP Hijacking Delector by lake2"print "[ ] Sniffing ...."ip_arr = {}while 1: a=sniff( filter="tcp and src host not 10.26.234.44", count=50) for b in a: ip_src = b.sprintf(r"%IP.src%") ip_ttl = b.sprintf(r"%IP.ttl%") if ip_arr.has_key(ip_src): c = int(ip_ttl) - int(ip_arr[ip_src]) if abs(c) > 4: print ip_src " has been hijacking !!! debug info : " str(ip_ttl) " <-> " str(ip_arr[ip_src]) else: ip_arr[ip_src] = ip_ttl print "=>"

檢測到某些設(shè)備攔截筆者在Google搜索敏感關(guān)鍵字的鏈路劫持：

雙向RST的情況，部署在機(jī)房的IDS也可以發(fā)現(xiàn)端倪。

如果是替換頁面型攻擊，頁面hash或者HTML元素個(gè)數(shù)會(huì)有異常，這里也可以作為一個(gè)檢測點(diǎn)。

防范鏈路劫持就比較困難，畢竟攻擊者控制著網(wǎng)絡(luò)鏈路。不過并非不可能。

一是網(wǎng)站全程使用SSL。

再一個(gè)就是在客戶端或（和）服務(wù)器丟棄偽造的TCP包。比如前面說到的單向中斷訪問型攻擊，就可以丟棄包含偽造特征的TCP包（如Id為0或8888）。某些項(xiàng)目就是利用客戶端、服務(wù)端同時(shí)丟棄的方式來翻墻的。

最后，我們可以看到廣域網(wǎng)一點(diǎn)都不安全，所以敏感信息傳輸一定要加密，還要高強(qiáng)度加密；高端網(wǎng)頁最好有個(gè)校驗(yàn)機(jī)制；自動(dòng)升級的程序也一定要校驗(yàn)文件簽名。

從鏈路層劫持的原理來看，我們發(fā)現(xiàn)核心的問題是：客戶端沒有辦法識(shí)別返回的應(yīng)答是否真的是服務(wù)器返回的，還是第三方返回的，所以簡單的信任了第三方的應(yīng)答，丟棄了真正的應(yīng)答。所以只要對服務(wù)器本身進(jìn)行身份驗(yàn)證，就可以防止“誤接受”惡意應(yīng)答。

HTTPS技術(shù)就是為此種場景而生，通過一個(gè)權(quán)威機(jī)構(gòu)，派發(fā)證明服務(wù)器合法身份的證書，用戶的電腦通過檢查證書的合法性，來辨別服務(wù)器的真假（因?yàn)榈谌胶诳筒豢赡軅卧熳C書）。

因此，HTTPS網(wǎng)站能有效防御鏈路層劫持。騰訊統(tǒng)一安全登錄就是用采用了HTTPS技術(shù)，來防止鏈路層劫持。

根據(jù)關(guān)于制止和防范非法劫持航空器行為的國際公約的規(guī)定，凡締約國都應(yīng)根據(jù)國際法和國內(nèi)法，采取一切必要和可能的措施，有效地防止危害航空安全的非法行為的發(fā)生，嚴(yán)厲懲罰和打擊犯罪行為。所以對旅客進(jìn)行安全檢查，是為了保障旅客本身的安全，防止非法劫持航空器事件的發(fā)生。