一种分光劫持干扰定位处理方法.docVIP

一种分光劫持干扰的定位处理方法 　　【 摘 要 】 随着互联网的高速发展，其已经渗入到人们生活的方方面面，对经济和社会有着重大的影响。各大网站也以用户流量大小为评估标准，形成流量为王的竞争态势，网站以网址后面加推广链接的方式进行流量推广和导流。因此，将用户劫持到带推广链接的网址上也形成了一条相当长的黑色产业链，此种劫持给用户、运营商、网站方都造成了重大经济利益损失和困扰。论文详细分析了运营商网络侧分光劫持的原理，并提出了一种定位和预防的方法。 　　【 关键词 】 网络安全；分光；劫持；干扰 　　A spectral Hijacked Interference Positioning Method 　　Yang Bo Wang Kai 　　（Hunan Network Operation Corporation HunanChangsha 410016） 　　【 Abstract 】 With the rapid development of Internet， it has penetrated into all aspects of peoples life， has a significant impact on the economic and social. Every web site also with the size as the evaluation criteria， user traffic flow for the kings competition situation， site to site promotion after it links to promote and guide way for flow， so to hijack the user take promoting link website also formed a fairly long black industry chain， the hijacked to the users， operators， party loss and caused a great economic benefits. In this paper， detailed analysis of the principle of the ISP’spectral hijacked， and puts forward a method of positioning and prevention. 　　【 Keywords 】 network security； the spectrophotometer； hijacking； interference 　　1 引言 　　通过在骨干路由器旁部署一台旁路的设备，采集分光流量信息监听所有流过的流量。这个设备按照某种规律或者策略，对于某些请求进行特殊处理。当一个请求流过，如果是TCP协议，这个设备根据该请求的seq和ack，把准备好的数据作为回应包，发送给客户端；如果是UDP协议，则直接把准备好的数据作为回应包，发送给客户端。因为回应包比服务器端的正常包提前响应，所以，真正的服务器端数据过来的时候，会被当作错误的报文而不被接受。HTTP劫持的提前响应最常见的是302跳转，通过回一个302跳转引导客户端跳转到新的链接。 　　网络侧分光劫持原理如图1所示。其中分光采集位置可以在城域网出口路由器分光也可以在骨干路由器分光，采集的是用户上网流量信息，如果是DNS出口分光则采集的是用户DNS请求信息，如果是RADIUS出口则采集的是用户RADIUS请求信息。 　　2 劫持事件处置分析 　　2.1 TCP类劫持 　　2.1.1 问题描述 　　某省很多用户称访问时发现浏览器地址栏上后面自动跟了一个带尾巴的链接，如/？tnhao_pg，疑似劫持。 　　2.1.2 用户端抓包分析 　　a）首先本机24向DNS服务器10请求的dns解析A记录，如图2所示。 　　b）DNS回应一个CNAME记录，地址解析为08、07，如图3所示。 　　c）查看08和07为江苏南京电信IDC的地址。接着是正常的3次TCP握手建链并向08发起了一个HTTP的GET请求，协议是1.1，请求地址是，如图4所示。 　　d）百度回应一个HTTP报文，状态码为200，如图5所示。 　　e）至此一切正常，继续筛选分析到531号报文，发现本机24直接向百度的Web服务器08发起了一个HTTP的GET请求，请求的地址就是带了/？tnhao_pg的外链，如图6所示。 　　f）往前回溯，分析本机为什么会直接发起带外链的请求。发现是因为在528号报文收到了百度的Web服务器08发送的一个H