記一次聯通路由器劫持的分析過程
阿新 • • 發佈:2019-02-08
在此順便給大家普及下計算機中“劫持”這詞,劫持可以分為分很多種,有大家常常聽見的那些廣泛的也有較為狹窄較為針對性的,比如大家常說的映象劫持它其實也可以叫做程序劫持,如果它是通過DLL注入映象或者注入記憶體的話也可以叫做DLL劫持。
還有一種常見的“網路劫持”,它其實也有著更加廣泛的名詞,比如修改HOSTS檔案植入X.acme程式碼遮蔽站點或跳轉指定頁面,這種較為針對性可以稱為HOSTS劫持,用類似ettercap這樣的工具做中間人毒化閘道器通過本地指令碼來完成資料重定向這種叫做ARP劫持或路由器劫持,利用路由的JS或http(資料)這些有重定向和編輯功能的來植入資料或轉發資料可以針對性的叫做“JS劫持”、“頁面劫持”或“路由器劫持”。這是一個無底洞有著許許多多的說法但大夥都習慣了用大眾化的名詞來稱呼這些劫持事件,比如一個監聽和劫持登錄檔的事件直接稱為系統劫持,一個LSP協議劫持稱為網路劫持。的這裡說的IE劫持是指標對本地IE元件的一種非法刪改或利用其它程序監聽頁面請求資料來達成跳轉的一種目的。
首先檢查了下IE中的外掛和設定都沒有異常,查看了hosts檔案無異常,同時開啟一個QQ會話視窗點選QQ秀髮現面板裡跳轉的還是聯通寬頻的頁面,排查了很多表明IE是沒問題的不存在元件被劫持,那麼下面只能排查網路了也許是DNS劫持,我追蹤了下路由躍點。
還有一種常見的“網路劫持”,它其實也有著更加廣泛的名詞,比如修改HOSTS檔案植入X.acme程式碼遮蔽站點或跳轉指定頁面,這種較為針對性可以稱為HOSTS劫持,用類似ettercap這樣的工具做中間人毒化閘道器通過本地指令碼來完成資料重定向這種叫做ARP劫持或路由器劫持,利用路由的JS或http(資料)這些有重定向和編輯功能的來植入資料或轉發資料可以針對性的叫做“JS劫持”、“頁面劫持”或“路由器劫持”。這是一個無底洞有著許許多多的說法但大夥都習慣了用大眾化的名詞來稱呼這些劫持事件,比如一個監聽和劫持登錄檔的事件直接稱為系統劫持,一個LSP協議劫持稱為網路劫持。的這裡說的IE劫持是指標對本地IE元件的一種非法刪改或利用其它程序監聽頁面請求資料來達成跳轉的一種目的。
首先檢查了下IE中的外掛和設定都沒有異常,查看了hosts檔案無異常,同時開啟一個QQ會話視窗點選QQ秀髮現面板裡跳轉的還是聯通寬頻的頁面,排查了很多表明IE是沒問題的不存在元件被劫持,那麼下面只能排查網路了也許是DNS劫持,我追蹤了下路由躍點。