流量劫持是如何产生的？（二）

流量劫持是如何产生的？（二）

4. ARP 攻击

这种攻击大家几乎都听出老茧了，即使不懂电脑的人也知道装个 ARP 防火墙保平安，其危害之大可想而知。

简单的说，ARP 就是广播查询某个 IP 对应的 MAC 地址，在用这个 IP 的人回个声。知道这个 IP 对应的 MAC 地址，就可以链路通信了（链路层只能通过MAC地址通信）。

　　如果有人冒充回复，并抢在正常人之前，伪造的答案也就先入为主。IP 被解析到错误的地址上，之后所有的通信都被劫持了。

　　事实上，早期的系统还有个更严重的BUG：直接给用户发送一个 ARP 回复包，即使对方从没请求过，系统也会接受这个回复，并提前保存里面的记录。这种基于缓存的投毒，让劫持成功率更上一层楼。

防范措施：由于这种攻击太过泛滥，以至大部分路由器都带了防 ARP 攻击的功能。客户端的 ARP 防火墙也数不胜数，似乎成了安全软件的标配。当然，系统也支持强制绑定 IP 与 MAC 的对应，必要时可以使用。

很多教程都是用 Wireshark 来演示，事实上当年有一款叫 Iris 的软件非常好用，可以修改封包再次发送，用它可以很容易搞明白各种攻击的原理。不过N年没更新了还不支持64位的。

5. DHCP 钓鱼

现实中，并不是每个人都会配置网络参数，或者出于方便，让网络系统自动配置。出于这个目的，DHCP 服务诞生了。

由于没有配置IP地址、网关、DNS 等，在网络上是寸步难行的，因此首先需要从 DHCP 那获得这些。然而，既然连 IP 地址都没有，那又是如何通信的？显然，只能发到广播地址（255.255.255.255）上，而自己则暂时使用无效的IP地址（0.0.0.0）。（事实上，链路层的通信只要有 MAC 地址就行，IP 地址已属于网络层了，但 DHCP 由于某些特殊需要使用的是 UDP 协议）

因为是发往广播，内网环境里的所有用户都能听到。如果存在多个DHCP服务器，则分别予以回复；用户则选择最先收到的。由于规则是如此简单，以至于用户没有选择的余地。

　　尚若黑客也在内网里也开启了 DHCP 服务，用户收到的回复包很可能就是黑客发出的，这时用户的网络配置完全听天由命了，不想被劫持都难了。

防范措施：如果是用网线上网的话，最好还是手动的配置。当然，管理员应该严格控制 DHCP 回复的权限，只允许交换机特定的接口才有资格发送回复包。

只要是这类提问/抢答模式的，都面临被冒充回答的风险。很多原理都类似。

6. DNS 劫持

如同 ARP 将 IP 解析成 MAC 地址 一样，DNS 负责将域名解析成 IP 地址。作为网络层的服务，面对的用户更广泛，当然面临的风险也大的多。一旦遭到入侵，所有用户都倒霉了。近些年的重大网络事故无不和 DNS 有关。

DNS 服务一旦被黑客控制，用户发起的各种域名解析，都将被暗中操控。将正常网站解析成黑客服务器的 IP，并事先开启了 HTTP 代理，用户上网时几乎看不出任何破绽；而黑客则获取到所有访问流量，各种网站账号信息都将一览无余。

　　由于 DNS 服务器的重要性，现实中通常有着较高的安全防护，想入侵它系统不是件易事。但实际未必如此兴师动众，一些 DNS 程序本身就存在着设计缺陷，导致黑客能控制某些域名的指向。其中最恶名昭彰的当属 DNS 缓存投毒。

大家或许已发现，域名->IP->MAC->接口，只要是动态查询的就会多一个环节，风险自然增加。灵活性与安全性始终是不可兼得。

防范措施：手动设置一些权威的 DNS 服务器，例如 8.8.8.8，4.4.4.4 会靠谱的多。

公网上的 DNS 劫持很少发生，但家用路由器的 DNS 劫持已泛滥成灾了。开头报道的路由器漏洞，最终的利用方式也就是修改了 DNS 地址。