免费看又黄又无码的网站_久久久高清国产免费观看_亚洲一区二区三区在线免费观看_免费欧洲美女a视频一级毛片_日本最新免费二区三区

竟然有這樣的事，一定要把木馬大卸八塊。

原因排查

首先在重現(xiàn)的情況下抓包，京東官網(wǎng)確實(shí)返回了一段JavaScript讓瀏覽器跳轉(zhuǎn)到了yiqifa.com。

服務(wù)器返回的代碼導(dǎo)致跳轉(zhuǎn)，基本可以排除本地木馬，推測是網(wǎng)絡(luò)或者服務(wù)器的問題。根據(jù)筆者的經(jīng)驗(yàn)，這種情況很大可能是鏈路上的流量劫持攻擊。當(dāng)然也不能排除京東服務(wù)器被黑的情況。

繼續(xù)排查。應(yīng)用層已經(jīng)不行了，我們要用Wireshark抓網(wǎng)絡(luò)層的包。

從Wireshark結(jié)果可以看到，網(wǎng)絡(luò)上出現(xiàn)了兩個京東的HTTP響應(yīng)。第一個先到，所以瀏覽器執(zhí)行里面的JavaScript代碼轉(zhuǎn)到了yiqifa.com;第二個HTTP響應(yīng)由于晚到，被系統(tǒng)忽略(Wireshark識別為out-of-order)。

兩個京東的HTTP響應(yīng)包，必然一真一假。快揭示真相了。

再來看看兩個HTTP響應(yīng)的IP頭。

第一個包TTL值是252，第二個包TTL值是56，而之前TCP三次握手時京東服務(wù)器的TTL值是56，故可以判斷先到的包是偽造的，真的包晚到而被系統(tǒng)忽略。

至此，確認(rèn)是鏈路上的劫持。

攻擊方式

繼續(xù)分析偽造的數(shù)據(jù)包。

偽造包的TTL值是252，也就是說它的原始TTL值應(yīng)該是255(大于252的系統(tǒng)默認(rèn)TTL值只能是255了，一般不會修改)，也就表明攻擊者的設(shè)備離我隔了3個路由;而正常的京東網(wǎng)站的HTTP響應(yīng)TTL值是56，隔了8個路由。物理上假的設(shè)備離我近，所以偽造的HTTP響應(yīng)會先到——比較有意思的是，筆者實(shí)際監(jiān)測時候發(fā)現(xiàn)也有偽造包晚到導(dǎo)致劫持失敗的情況。

推測是一個旁路設(shè)備偵聽所有的數(shù)據(jù)包，發(fā)現(xiàn)請求京東首頁的HTTP請求就立即返回一個定制好的HTTP響應(yīng)。