中间人攻击:“作恶”的有线通

风行水上 @ 2013-12-08 13:12:10
标签:

    用有线通的宽带浏览网站时,窗口右下角时有广告弹出。

    已经在路由器里手工设置了DNS服务器。浏览器里查看网页的源码,也没有被篡改的迹象。但是查看DOM结构,发现有被注入的JavaScript代码。

    借助Fiddler进一步追踪,应该可以确认是网络提供商高的鬼。

    只能说“不作恶”在商业利益面前微不足道。

    攻击过程

    IP地址: 211.167.112.83 上海市 有线通
    
    GET http://211.167.112.83/PASV/CC1549EF578746E2884196A9EFEF3D9C/
    <script src="http://211.167.112.83/static/FloatingContent/_Lg38lNUZIOlBdLwPmYVkw/floating-frame.js"></script>
    

    当用户访问一个网页时,其中的某个script的HTTP请求会被重定向到上面"211.167.112.83"处的一个地址。该地址返回的Javascript脚本显然至少做了两件事:

    1. 重新加载真正的Javascript文件
    2. 注入弹出广告代码
    3. 其它可能的不可告人的操作

    可以看到,以前网络提供商惯用的DNS劫持攻击已经被取代为更恶劣的“中间人”攻击。直接对用户数据进行篡改以及可能的“窃取”。

    看网上一些反映,不仅“有线通”的宽带有这个问题,“中国电信”的一些用户也有这个问题(参考:http://bbs.csdn.net/topics/390387547)。

    反击方法

    因为数据的篡改发生在用户不可及的地方,所以“防御”是相对容易的思路。

    一种办法是让广告屏蔽插件,比如看是否可以配置AdBlock屏蔽来自特定IP地址的广告。但是否可以容易实现是个问题。

    相对比较容易实施的是在路由器的防火墙里屏蔽恶意的IP地址。我自己就用了这种办法。该方法的一个副作用是可能导致页面的某些Javascript脚本加载不成功。虽然通常刷新页面可以解决这个问题,却也再次体现了这种中间人攻击的恶劣。

    如果勇敢一点,看到也有网友提出过“主动攻击”的可能性。就是对上述恶意IP地址发起攻击,让对方把自己加入黑名单。

    标签:

      分享到:
      comments powered by Disqus

      18/20ms