據了解,有三名以色列的研究人員發現,中國的互聯網服務提供商(中國電信和中國聯通)正在向用戶的通信數據包中注入某些內容。
科普:
ISP(Internet Service Provider),互聯網服務提供商,即向廣大用戶綜合提供互聯網接入業務、信息業務、和增值業務的電信運營商。
這兩家互聯網服務提供商通過設置代理服務器來對其客戶端的網絡系統進行“污染”,并將其客戶的網絡訪問流量定向至廣告鏈接和惡意軟件之上。
當用戶訪問某一由上述互聯網服務提供商所加載的域名時,系統會改變數據包的目標傳輸地址,并會將用戶的瀏覽器重定向,然后去對流氓網絡的路由地址進行解析。而結果就是,原始的網絡流量會被重定向至加載了廣告和惡意軟件的惡意站點。
在他們所發表的文章中,研究人員對互聯網服務提供商的這種操作手段和攻擊方式進行了詳細的分析,并且向大家解釋了互聯網服務提供商是如何監視用戶的網絡通訊信息,并修改數據包的URL目的地址的。
這些互聯網服務提供商使用了兩種注入技術,第一項技術為“Out of Band TCP Injection”,另一項技術為“HTTPInjection”。即TCP帶外數據注入和HTTP注入。
利用TCP帶外數據注入技術,網絡運營商可以用偽造的數據包取代合法的數據包,并將惡意數據包發送給用戶。這也就意味著,互聯網服務提供商可以克隆用戶合法的通訊信息,并將合法的數據包和克隆的數據包一起發送至用戶的目標地址。
目標地址將會接收到兩份來自于源地址的通訊信息流,即合法數據包和克隆數據包,但是只有一個數據包能夠首先到達。如果合法數據包先到達目標主機,那么將會一切正常,什么危險的事情都不會發生。如果克隆數據包先抵達目標主機,那么用戶將會遇到非常嚴重的問題。
利用HTTP注入技術,網絡運營商可以向Web客戶端注入偽造的HTTP響應信息。HTTP是一種無狀態的客戶端-服務器協議,并使用TCP作為其傳輸層協議。
HTTP交換是從客戶端發送HTTP請求開始的,通常情況下會接收到一個帶有請求信息的URI。在處理完這個請求之后,服務器會發送一個帶有狀態碼的HTTP響應信息。用戶可能會接收到下列形式的響應信息:
l 200(成功):服務器已經成功接收,識別,并接受請求信息。這種類型的響應信息通常會包含有請求資源。
l 302(重定向):請求資源將會暫時駐留在另一個URI之中。這種類型的響應信息通常會包含一個位置header域,并攜帶有不同的URI信息。
研究人員表示:
“一個HTTP客戶端在發送了一個請求信息之后,只能接收一個HTTP響應信息。正如我們在之前所提到的,用戶將有可能接收到一個偽造的HTTP響應信息,當TCP層接收到這一信息時,將會接受其中的第一個數據段。”
除此之外,研究人員還收集了大量的證據,并發現了偽造數據包的始作俑者。
他們發現,互聯網服務提供商與廣告網站之間存在著一種骯臟的利益關系,他們一同合作并創造出了大量的廣告收益,然后雙方就可以對這些收入進行分攤。
在調查過程中,研究人員還檢測到了大量被重定向的通信數據,而這些均與他們的這種合作伙伴關系有關。
即使這種事情只發生在中國,但是全世界所有的用戶都將有可能受到影響。因為,如果你想要訪問中國的某個網站,那么你的網絡信息就需要流經某國的互聯網服務提供商。這樣一來,你的通信數據將有可能被注入廣告或者惡意軟件。
那么,我們該如何監測這些惡意的數據包呢?
IP地址鑒定偽造的數據包可以偽裝成一個合法的數據包,但是我們可以利用每一個數據包中的時間戳來進行分辨。所以我們可以利用“時間戳”這一信息來幫助我們分辨惡意的數據包。
研究人員說到:“我們制定了以下規則,這些規則能夠幫助我們分辨出哪一個數據包是偽造的:在偽造數據包的識別值與正常數據包的識別值之間,絕對值相差較大。”
TTL(生存時間值)研究人員表示:“在服務器接收到的數據包中,其IP的TTL值取決于發送者所設置的初始值以及數據包在傳輸過程中所經過的路由跳數。因此,通常情況下,同一會話進程中的數據包抵達客戶端的時候,其TTL值會有所不同。所以,如果當兩個數據包處于競爭狀態的話,我們就可以利用TTL值來對其進行區分了。我們從觀察中得出,網絡運營商在注入惡意實體的時候,往往并不會去修改數據包中的TTL值,所以偽造數據包中的TTL值與服務器所發送的其他數據包并沒有多大的區別。與IP地址識別的情況類似,其規則大體上是一樣的,只是這一次我們使用的是TTL值來進行對比。
時序分析由于偽造數據包與合法數據包之間的競爭關系,我們就可以利用數據包的到達時間來對數據包的特點進行區分。我們所說的到達時間指的是數據包被網絡監控系統捕捉到的時間。由于距離目標主機最近的邊緣網絡系統能夠捕捉到通信數據包,那么我們就可以假設這些數據包到達邊緣網絡設備的時間與其真正到達終端目標主機的時間是相近的。就我們所發現的這些注入事件來分析,我們對偽造數據包以及合法數據包的到達時間進行了計算和區別。兩者的到達時間之差為負差值時,這意味著主機接收到的是偽造的數據包;如果差值為正差值時,那么主機接收到的就是合法的數據包。
如何緩解這一安全風險?能夠避免這類攻擊的最好方式就是訪問支持HTTPS安全傳輸協議的網站,因為這類網站通常能夠屏蔽掉惡意的URL地址。因此,網站的管理員也可以使用HTTPS來避免網站遭受這種類型的攻擊。
京公網安備 11010502049343號