[其他] 链路劫持攻击

一、基本概念
这种攻击发生在传输层中，是指网络链路上侦听、伪造TCP包，达到控制目标网络链路的行为。最常见的就是某些设备实现的对非法站点的访问拦截，以及一些地区运营商的网页植入广告行为。
因为广域网的链路劫持影响面大，一般会影响一个地区甚至是全国，所以本文重点讨论广域网的TCP链路劫持，局域网的劫持如ARP攻击不在讨论范围。

二、分类
目前发现的TCP链路劫持攻击一般有两种形式：终中断访问型（分为单向阀包和双向发包）和替换页面型。
2.1 终端访问型
常见于阻止用户访问某些网站，如某些设备禁止用户访问某些站点、某地运营商的禁止ADSL多终端上网功能。其原理就是伪造服务端给用户发RST包阻止TCP连接的建立（单向发包）。更新一步，某些设备在冒充服务端给用户发RST包的同时也冒充用户给服务端发RST包（双向发包）。

2.2 替换页面型
常见于运营商植入广告，也有篡改正常网页进行SEO、骗流量的。原理很简单，就是在一个HTTP请求后伪造服务端的HTTP响应给客户端。

三、检测
3.1 被动检测
抓到可以包之后关注两个关键点：TTL值和IP Id（Identification）。根据实际观测，伪造的TCP包的TTL值和Id是不符合逻辑的。
比如真实包的TTL是53，Id是按顺序自增的，而伪造的包的TTL是64，Id始终是0.
通过伪造的TTL值就可以大致定位侦听设备的位置。

3.2 主动检测
客户端访问目标站点的时候，同一个TCP会话的TTL值发生较大变动，就可以判定为疑似劫持。以下python代码就是一个利用Scapy检测TCP链路劫持的示例：

#!/bin/python
#  
# 

import sys
from scapy.all import * 
conf.verb=0

print "TCP Hijacking Delector"
print "[+] Sniffing ...."
ip_arr = {}
while 1:
	a=sniff( filter="tcp and src host not 10.26.234.44", count=50)
	for b in a:
		ip_src = b.sprintf(r"%IP.src%")
		ip_ttl = b.sprintf(r"%IP.ttl%")
		if ip_arr.has_key(ip_src):
			c = int(ip_ttl) - int(ip_arr[ip_src])
			if abs(c) > 4:
				print ip_src + " has been hijacking !!!   debug info : " + str(ip_ttl) + "  <-> " + str(ip_arr[ip_src])
		else:
			ip_arr[ip_src] = ip_ttl
	print "=>"

3.3 针对TCP链路劫持
双向RST的情况，部署在机房的IDS可以发现端倪。
如果是替换页面型攻击，页面hash或者HTML元素个数会有异常，这里也可以作为一个监测点。

四、防范
防范链路劫持虽然很困难，但并非不可能。
方法有网站全程使用SSL；在客户端或服务器丢弃伪造的TCP包。

（原文地址：http://security.tencent.com/index.php/blog/msg/10）