当前位置:首页 > 黑客教程 > 正文内容

链路层劫持怎么解决(链路层解决什么问题)

访客3年前 (2022-01-26)黑客教程682

  2020.03.26下午,有消息说[1]github的TLS证书出现了错误告警。证书的结构很奇怪,在其签发者信息中有一个奇怪的email地址:346608453@qq.com。明显是一个伪造的证书。

  为了弄清楚其中的情况,我们对这一事件进行了分析。

  

  DNS劫持?

  出现证书和域名不匹配的最常见的一种情况是DNS劫持,即所访问域名的IP地址和真实建立连接的IP并不相同。

  以被劫持的域名go-acme.github.io为例,我们的passiveDNS库中该域名的IP地址主要使用如下四个托管在fastly上的IP地址,可以看到其数据非常干净。

  

  对该域名直接进行连接测试,可以看到,TCP连接的目的地址正是185.199.111.153,但其返回的证书却是错误的证书。因此github证书错误的问题并不是在DNS层面出现问题。

  

  劫持如何发生的?

  为了搞清楚这个问题,可以通过抓取链路上的数据包来进行分析。为了有较好的对比性,我们先后抓取了443端口和80端口的数据。如下图

  

  TCP三次握手中的服务器应答对比

  左边的数据包为https连接,右边的数据包为http连接。可以看到https的服务器应答TTL为53,http的则为44。一般来说,在时间接近的情况下,连接相同的目标IP,数据包在链路上的路径是是近似的。https的TTL显著的大于http的TTL,看起来很有可能是在链路上存在劫持。

  有意思的是 在https后续的连接中其TTL值并不稳定,比如在响应证书的数据包中,其TTL变成了47,介于44和53之间,更接近于http链路的情况。作为对比,http的后续数据包的TTL值则一直稳定在44。

  [20200327 23:00 更新] 在数据包内容方面,另一个值得关注的点是:被劫持的会话数据包(https)全部回包的IPID都是0. 正常数据包(http)首次回包IPID是0,之后的回包就不是了。

  这是两个有意思的现象。

  

  被劫持会话后续返回的TTL值

  因此,结合https会话过程中TTL值和IPID的异常,我们猜测是在链路上发生了劫持。

  证书是怎么回事?

  事实上,从我们DN *** on系统的证书信息来看,这个证书(9e0d4d8b078d7df0da18efc23517911447b5ee8c)的入库时间在20200323早上六点。考虑到数据分析的时延,其开始在大网上使用最晚可以追溯到20200322。

  同时可以看到,这个证书在证书链上的父证书(03346f4c61e7b5120e5db4a7bbbf1a3558358562)是一个自签名的证书,并且两者使用相同的签发者信息。

  

  相关证书信息

  受影响的域名及时间

  从上图中可以看到,该证书的影响不仅仅在github,实际上范围非常大。通过DN *** on系统,我们提取出了受影响的域名共14655个。

  通过DN *** on系统查看这些域名的流行度,在TOP1000的域名中,有40个域名受影响,列表如下:

  1 www.jd.com

  5 www.baidu.com

  10 www.google.com

  37 www.sin ***

  44 www.163.com

  51 www.douyu.com

  62 www.suning.com

  86 www.pconline.com.cn

  91 sp1.baidu.com

  126 twitter.com

  137 www.eastmoney.com

  143 mini.eastday.com

  158 sp0.baidu.com

  174 www.jianshu.com

  177 www.mgtv.com

  185 www.zhihu.com

  232 www.toutiao.com

  241 price.pcauto.com.cn

  271 www.google.com.hk

  272 video.sin *** .cn

  299 www. *** .com

  302 www.acfun.cn

  365 www.vip.com

  421 news.ifeng.com

  451 car.autohome.com.cn

  472 www.facebook.com

  538 www.gamersky.com

  550 www.xiaohongshu.com

  552 www.zaobao.com

  580 www.xxsy.net

  621 www.huy ***

  640 mp.toutiao.com

  643 www.ifeng.com

  689 www.ip138.com

  741 dl.pconline.com.cn

  742 v.ifeng.com

  784 www.yicai.com

  957 passport2.chaoxing.com

  963 3g.163.com

  989 www.doyo.cn

  对这些域名发生证书劫持时的DNS解析情况分析发现,这些域名的解析IP均在境外,属于这些域名在境外的CDN服务。值得一提的是尽管这些域名都是排名靠前的大站,但是因为国内访问的时候,CDN解析会将其映射为国内的IP地址,因此国内感知到这些大站被劫持的情况比较小。

  受影响二级域排名

  在二级域方面,github.io 是受影响更大的二级域,也是此次劫持事件的关注焦点。

  1297 github.io

  35 app2.xin

  25 github.com

  18 aliyuncs.com

  17 app2.cn

  14 nnqp.vip

  10 jov.cn

  8 pragmaticplay.net

  7 tpdz10.monster

  7 suning.com

  从时间维度来看,这些域名的首次被劫持时间分布如下:

  

  从图中可以看出域名首次受影响的数量有日常作息规律,并且在3月26号数量有了较大幅度的增加。

  结论

  劫持涉及域名较多,共计14655个,其中TOP1000的网站有40个;

  劫持主要发生在国内用户访问上述域名的海外CDN节点的链路上。国内用户访问国内节点的情况下未见影响;

  所有这些劫持均使用了以 346608453@qq.com 名义签名的证书,但我们没有找到 编号 346608453 的 *** 用户与本次劫持事件相连的直接证据,也不认为该 *** 用户与本次事件有直接关联;

  所有这些劫持最早出现在 2020.03.21 23时附近,持续到现在。并且在过去的24小时(26日~27日)处于高峰。

  【编辑推荐】

  鸿蒙官方战略合作共建——HarmonyOS技术社区数字证书签名、Lets Encrypt和证书劫持攻击者利用过期安全证书传播恶意软件一文讲清通用型SSL与SAN SSL证书HTTPS证书的价格与什么因素有关?Github疑似遭中间人劫持,网友反馈访问报证书错误【责任编辑:赵宁宁 TEL:(010)68476606】

  点赞 0

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/90888.html

“链路层劫持怎么解决(链路层解决什么问题)” 的相关文章

美及欧洲执法机构联盟查封了黑客网站 RaidForums.com

一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动,以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一,它承载着一个留言板系统,恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和...

日本电装德国分部大量机密数据被窃取 黑客威胁将公开

丰田汽车旗下零部件制造商日本电装于13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。 据信息安全公司三井物...

Lapsus$ 事件调查中 伦敦警方已逮捕 7 名 16-21 岁青年

援引 BBC News 报道,伦敦警方已经逮捕了 7 名青年,怀疑他们和近期非常猖獗的黑客组织 Lapsus$ 有关。在一份提交给 The Verge 的声明中,伦敦市警方的探长迈克尔·奥沙利文表示:“伦敦市警方一直在与合作伙伴一起对一个黑客组织的成员进行调查。在调查中有 7 名年龄在 16-21...

加密货币平台 Wormhole 遭黑客入侵 预估损失 3.22 亿美元

Wormhole Portal 刚刚遭遇了“桥梁”漏洞攻击,导致该加密货币平台损失了相当于 3.228 亿美元的 ETH 和 SOL 。问题源于以太坊区块链上的一个“智能合约”缺陷,别有用心的攻击者可借此将一款加密货币转换成另一种并跑路。 攻击后,失窃的加密货币资产已缩水至 2.94 亿美元。虽然...

FontOnLake Rootkit 恶意软件攻击 Linux 系统

网络安全研究人员详细介绍了一项新的黑客行动,该行动可能以东南亚的实体为目标,工具是一种以前未被识别的Linux恶意软件,该恶意软件被用于进行远程访问,此外还可以收集凭证和充当代理服务器。 该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”,据说具有“设计良好的模块”,可以不断升...

IRISA 开发新型恶意软件检测系统 通过树莓派探测特定电磁波

计算机科学与随机系统研究所(IRISA)的一支研究团队,刚刚介绍了其新开发的一套恶意软件检测系统,特点是利用树莓派来扫描设备中的特定电磁波。团队成员中宝库了 Annelie Heuser、Matthieu Mastio、Duy-Phuc Pham 和 Damien Marion,且由于这套装置专注于...

评论列表

礼忱绣羽
2年前 (2022-07-04)

这是两个有意思的现象。    被劫持会话后续返回的TTL值  因此,结合https会话过程中TTL值和IPID的异常,我们猜测是在链路上发生了劫持。  证书是怎么回事?  事实上,从我们DNSMon系统的证书信息来看,这个证书(9e0d

弦久礼忱
2年前 (2022-07-04)

列表如下:  1 www.jd.com  5 www.baidu.com  10 www.google.com  37 www.sina.com  44 www.163.com  51 www.douyu.com  62 www.suning.com  86 www.pconli

鸽吻鱼芗
2年前 (2022-07-04)

网友反馈访问报证书错误【责任编辑:赵宁宁 TEL:(010)68476606】  点赞 0

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。