某种流量劫持攻击的原理简述和演示 (某种流量劫持怎么解决)

教程大全 2025-07-12 13:35:58 浏览次

【.com专栏稿件】回顾近几年国内发生的各类恶意劫持事件中，莫过于通信运营商的流量劫持，该行为严重干扰到了个人和企业用户的正常使用和运营。鉴于互联网上已经有大量关于此类攻击的案例分析和阐述，为了更加有效的防御此类攻击，本文将换一个角度思考和分析，以劫持攻击者的立场，通过具体的劫持实验来简述过程。

目前国内做运营商劫持的主要模式，即通过旁路分光设备镜像流量，并监听用户HTTP GET上行请求，篡改正常返回的信息，从而实现隐蔽的劫持互联网网站信息。因劫持手法种类多样，限于篇幅，本文将只采用其中一种劫持第三方js代码的方式来进行阐述。

一、劫持演示准备

1、获取互联网用户发往80端口的网络数据包，无需回传的数据包。

2、演示用户的浏览器使用基数和安全程度较高的Chrome。经过笔者测试，该演示方案对于Windows系统 +其他浏览器的组合，以及移动端iPhone和Android平台上的默认浏览器均有效。

3、注册开通某商网站联盟账号，系统会从后台分配到一个可跳转的url，该url会给用户设置 cookie，同时用做系统后期统计计费分成。

例如申请到的url如下：

红色字体为不同的加盟账户被分配的不同编号，若该参数被恶意篡改，该用户推广获得的收入分成将转移。

用curl命令请求该链接，将获得如下图中返回包的截图。其中红色部分标明了该返回包进行了Set-Cookie计费和跳转操作。

二、劫持过程简述

1、当用户访问www.XXX.com，同时劫持者旁路侦听到该用户浏览器请求了某第三方js代码。(本文将拿Google Analytics的统计代码ga.js 来举例，完整链接：www.google-analytics.com/ga.js)，Referer 目标站www.XXX.com。

2、先于www.XXX.com的服务器返回构造过的TCP包给用户，同时将篡改过的ga.js代码返回。

篡改过的ga.js代码，详见下面截图：

3、劫持完成后用户浏览器的访问不会有明显的异常感知，打开chrome的开发者工具查看访问情况，如下截图：

在用户的主机上打开wireshark 做抓包分析，可以看到被我方强制植入的统计Cookie已经成功，效果如下截图：

三、该类js劫持的特点

1、该类js代码是由第三方发布和更新，正常情况下不会有人对其返回进行校验。即便用户频繁重复请求或者请求失败，被劫持方不会被主动告知。

2、操作隐蔽且灵活，通过多种方式只需发送1k以下的数据包篡改js代码，即可完成劫持，无需额外的服务器再做跳转。

3、该类js代码在国内中小型web站点甚至大型网站具有较高的使用率，比如本文中提到的ga.js通常用作网站流量统计实现。

四、排查和防御方式

1、目前最流行的运营商劫持方式，即直接在用户访问www.XXX.com的时候对其访问劫持，并直接302重定向跳转到预先设定好的url链接上，此类方式较易被发现，目前国内大多数web站点均开启了https加密策略，可以部分有效的防御此种劫持攻击。

2、对用户浏览器侧的js代码进行校验，并对CDN节点上的缓存内容做定时轮训匹配对比，判断是否被篡改。监控用户真实得到的web源代码，观察是否被非法注入或者强制跳转等等。

3、因该类劫持攻击需要在真实服务器返回的TCP包到达前，就将伪造包发到用户浏览器，否则将失去效果。因此排查此类攻击方式应遵从，优先从用户侧排查，也可采用判断TTL不同返回值来做劫持层定位。

4、通信运营商应该加强自身内部人员和设备管理，并在节点配置部署URPF策略，将伪造IP头的包全部丢弃。比如，排查在关键回写植入点的路由器上的ACL规则，拒绝放行特殊格式或者特征的回写包。

网页是传到服务器还是数据库？

数据库就在服务器上，从某种程度上讲，是一个意思，服务器除数据库外，还有WEB空间，楼主概念搞混了。建议您先免费试用，如不满意无需付款。会打字就会建网站，操作简单。有免费的网站制作学习视频和操作演示。 210元建站方案，可先免费试用15天。包括：国际顶级域名（60元/年）、速成网站普及型（500M，150元/年）、正规备案服务等。具有基本网站功能：商品展示&发布管理、酷炫图文工具、文章管理、留言本、流量统计、网站SEO等。 460元建站方案，可先免费试用15天。包括：国际顶级域名（60元/年）、速成网站全能型（空间2G，400元/年）、正规备案服务等。功能：网上商城、文章管理、会员注册及管理、论坛管理、在线购物与支付、留言本、流量统计、网站SEO推广、支持WAP手机网站等。可咨询今日创业在线客服，他会一步一步教您操作。今日创业已为多家用户提供了近6年优秀服务，更安全，更稳定。联系方式请见我们团队公告。

标点符号的使用方法。

省略号〔……〕：它的主要用法有：（1）表示文中的省略部分。（2）表示思维的进行或跳跃。（3）表示话语的断续。（4）表示心情的矛盾。（5）省略号的前面不是一个完整的句子时，一般可直接用，如：A．“汪老师……”B．“汪老师，您是……”（6）省略号的前面是一个完整的句子时，一般要先在句末注上标点符号，后用省略号，如：A．“学校已放学了。 ……”B．“今天，阳光灿烂。 ……”（7）省略号的后面一般除了可用引号外，不再用别的标点符号。（8）用省略号表示省略时，如果用了省略号，一般不要再用“等”、“等等”；反之，用了“等”、“等等”，就不要再用省略号。（9）省略号还可以表示语断意留。（10）省略号又可以表示语音含蓄或状态延续、声音的断续或延长、声音被打断等。括号〔（）〕：一般多用来表示文中的注释或补充。如：A．朱熹，字元晦，南宋徽州婺源人（现在江西省婺源县人）。 B．结果的教训是：所以倘有陌生的声音叫你的名字，你万不可答应他。（《鲁迅全集》第二卷《朝花夕拾》，人民文学出版社1981年版）破折号〔－〕：的主要用法有（1）表示意思转换或递进；（2）表示对前文的解释和说明；（3）表示中断或插说；（4）表示语言停顿；（5）表示提示下文；（6）表示声音的延长。顿号〔、〕：表示句子内部并列词语之间的停顿。顿号表示的停顿比逗号小，一般用来隔开并列的词或者并列短语。并列的词之间用了“和”、“或”之类连词，就不再使用顿号。顿号与“和”的作用是一致的。多个词语并列先用顿号，最后一个用“和”。如果并列词语结合得很紧，没有必要在行文中用停顿来突出它，则可以不加顿号。并列词语中又有并列词语时，大并列用逗号，小并列用顿号。顿号运用方面常见错误如：张三，李四，赵五经常到阅览室学习。（两个逗号应改为顿号）市一中学的校长、主任、第三中学的校长、主任都来开会了。（此句混淆了并列词语的大小层次。第二个顿号应改为逗号。）亚马逊河、尼罗河、密西西比河、和长江是世界四大河流。（此句用了“和”，前面的顿号应该删去。）逗号〔，〕：表示句子内部的一般性停顿。其主要用法有： a．用在较长的主语后面。如：这个演员表上排列在最后一名的小角色，却赢得了观众最热烈的掌声。 b．用在需要强调的简短主语后面。如：北京，祖国的首都。 c．用在句首状语的后面。如：在一个明媚的早晨，他登上了去石家庄的列车。 d．用在较长的宾语前边。如：我不得不承认，他的实力比我强得多。 e．用在插入语前后。如：我来北京，往少里说也有十几次了。 f．某些句中关联词后面有时也用逗号。这往往是出于强调的需要，一般民政部下是不必停顿的。如：劳动很艰苦，可是，我们根本不怕。 g．用在复句内部的分句间。如：层层的叶子中间，零星地点缀些白花，有袅娜地开着的，有羞涩地打着朵儿的。 h．用在次序语后面。如：第一，时间紧，任务重，我们必须加劲干；第二，我们一定要注意安全。 i．用在倒装句中间。如：多么美丽，这一朵朵鲜花。分号〔;〕: 表示一句话里并列分句之间的停顿。只有一重关系的复句，分句间一般用逗号，不用分号。如果分句内部已用了逗号，分号之间必须用分号。如：白天，战士们坚守着已得的阵地；夜里，战士们向敌人发起新的攻击。在多重复句内，并列分句之间必用分号。如：依照客观规律去办事，国民经济就能够均衡地、顺利地发展；违反这些原则，国民经济的发展速度就快不起来。并列的分句出于分清结构和突出名单的需要，即使分句内部没有逗号，分句之间也可用分号。非并列关系（如转折关系、因果关系等）的多重复句，第一层的分界处也用分号。如：这正如地上的路；其实地上本没有路，走的人多了，也便成了路。分项列举的各项之间，也用分号。冒号〔:〕: 用在提示语后面，表示提起下文或总结上文。运用冒号时要注意其提示范围。冒号提示的内容的末尾用句号。如果一个句号前的内容不全是冒号提示的，则这个冒号用得不正确。如：这种惊人产事实证明：人如果老想着钱，看不到敌人的腐蚀进攻，就会走入歧途，可见这些事实是可以作为活教材的。（句中冒号只提示到了歧途，不包括后边，所以用错了。应把歧途后面的逗号改为句号。）没有特别提示的必要就不要用冒号。如：他表示：一定要来参加会议。（冒号应该删去）比赛的结果出人预料：老年队竟打败了青年队。（冒号应该改为逗号）在句子万分内部，不能用冒号。如：老师说了一声：“下课！”就走了。（句中不能用冒号，应删去。） “某某说”、“某某想”等后边常用冒号。但有时不想强调提示语，或不直接引述别人的话，则不用冒号而用逗号。如果“某某说”是在所有引文的后边，“说”后用句号。引号〔“”〕: 表示文中引用的部分。引号有双引号和单引号两种。一般用双引号，引文内还有引文，就用单引号。双引号和单引号反复使用。直接引用别人的话，用引号；间接引用别人的话，不用引号。连续引用几个文段时，每段开头都要用前引号，只在最后一段用后引号。引号的作用主要有： a．表示引语 b．表示特定称谓 c．表示特殊含义需要强调 d．表示否定和讽刺引语指行文中引用他人的话。成语、格言、诗词等，也包括拟声词、音译词。特定称谓指具有某些特点的名称、简称、专用术语以及纪念日等。特殊含义指引号中的词语在其具体的语言环境中产生了新的意思。使用引用时，引文末尾标点的位置要注意。凡是把引用的话独立来用，末尾点号放在引号里边。如果引用的内容是句子的一个组成部分，即引文没有独立性，引用部分末尾不用点号（问号、叹号可保留），整个句子该停顿处则停顿，该用何点号则用何点号。括号〔()〕: 表示文中注释的部分。注释或补充说明句中某个词语的叫句内括号。它必须紧紧跟在被注释的词语之后，被注释的词语后面需要停顿，点号要放在后括号后面。括号内的注释语如果带有标点，其最后一个标点（问号、叹句除外）应省去。注释或补充说明全句的叫句外括号。句外括号内的注释语如果是一句话，那么句末点号应该保留；如果不成句，就不句末点号。破折号〔---〕: 表示对上文的词语的解释或表示语意某种变化。破折号的第一作用是对上文进行解释。这种用法与括号相似。它们的区别是：括号里标明的语句仅是对上文的解释说明，不是正文，读的时候不必读出；破折号标明的语句坚前文的解释说明，同时又是正文的一部分，必须与上下文连读下来。所以，对上文进行注释要注意到两者的区别，注释部分若是正文，就用破折号；若不是正文，就用括号。行文中表解释说明通常只用一个破折号引出，这类语句若插在句子中而且较长，可用双破折号，即注释语前后各一个。破折号的第二个作用是表语意的递进。这种情况下，通常能看出破折号前后在时间上的推移、在意思上的推进、在空间上的转移、在情节上的变化。破折号的第三个作用是表语意的转换，批语言表述中一个意思突然转到另一种意思上去，破折号前后不是同一方面的内容。第四个作用是表示声音的中止、停顿、延长。另外，破折号还用于连接歇后语，标明文章副标题和词、诗、文的作者及事项列举分承的各项之间。省略号〔......〕: 表示文中省略的部分。主要用法有： a．表示引文的省略 b．表示列举的省略 c．表示说话断断续续 d．表示语意未尽 e．表示沉默不语并列词语在句中作定语时，省略时只用等不用省略号。使用省略号要注意它和前后标点的关系。省略号前边如果是完整的句子，此句点号照用；如果不是完整的句子，一般不用点号。省略号后边一般不用点号。省略号后边有时用点号，目的在于分清结构，表示不与下文相混。书名号〔《》〕:表示文中出现的书名、报刊名、诗文名、歌曲名、戏剧名、绘画名、电影和电视片名等。书名与一般用双层尖角号表示。书名号内还要用书名号时，里面的用单层尖角号。着重号〔.〕:标明要求读者特别注意的文字。着重号用小圆点表示，点在被强调的文字下边，有多少个字，就点多少点。连接号〔-〕:表示把意义密切相关的词语连成一个整体。它是一个小短横，高低居中。它一般用来连接起止时间、相关数字、两个地名等。间隔号:标明词语的分界。它是一个小圆点，放在隔词语的中间，高低居中。它用在并列的词语构成的标题中；用在词牌名与题目间；用在书名与篇章名之间；用在外国人或某些少数民族人名内部各部分之间；用在表示年月日的数字之间。专名号:表示文中人名、地名、朝代名、团体名等。它是一条横线，村在专有名称下面，目的在于使之与一般词语区别开来。它只用在古籍或某些文中著作里面。