释放双眼,带上耳机,听听看~!
【前言】某天在家里访问某电商网站首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到电商网站,心里第一个反应就是中木马了。
转载请注明:安全专题
某天在家里访问某电商网站首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到电商网站,心里第一个反应就是中木马了。
竟然有这样的事,一定要把木马大卸八块。
【原因排查】
首先在重现的情况下抓包,电商网站确实返回了一段JavaScript让浏览器跳转到了yiqifa.com。
下图是应用层的抓包。
服务器返回的代码导致跳转,基本可以排除本地木马,推测是网络或者服务器的问题。根据笔者的经验,这种情况很大可能是链路上的流量劫持攻击。当然也不能排除该电商服务器被黑的情况。
继续排查。应用层已经不行了,我们要用Wireshark抓网络层的包。
从Wireshark结果可以看到,网络上出现了两个该电商网站的HTTP响应。第一个先到,所以浏览器执行里面的JavaScript代码转到了yiqifa.com;第二个HTTP响应由于晚到,被系统忽略(Wireshark识别为out-of-order)。
这两个HTTP响应包,必然一真一假。快揭示真相了。
再来看看两个HTTP响应的IP头。
第一个包TTL值是252,第二个包TTL值是56,而之前TCP三次握手时该电商服务器的TTL值是56,故可以判断先到的包是伪造的,真的包晚到而被系统忽略。
至此,确认是链路上的劫持。
更多链路劫持攻击的信息可以先看看笔者之前写的文章《链路劫持攻击一二三》。
转载请注明:安全专题
