99插插插,亚洲伦理中文在线,站长推荐一二三区欧美,青青草在线导航

再來(lái)看看兩個(gè)HTTP響應(yīng)的IP頭。

第一個(gè)包TTL值是252，第二個(gè)包TTL值是56，而之前TCP三次握手時(shí)京東服務(wù)器的TTL值是56，故可以判斷先到的包是偽造的，真的包晚到而被系統(tǒng)忽略。

至此，確認(rèn)是鏈路上的劫持。

攻擊方式

繼續(xù)分析偽造的數(shù)據(jù)包。

偽造包的TTL值是252，也就是說(shuō)它的原始TTL值應(yīng)該是255(大于252的系統(tǒng)默認(rèn)TTL值只能是255了，一般不會(huì)修改)，也就表明攻擊者的設(shè)備離我隔了3個(gè)路由;而正常的京東網(wǎng)站的HTTP響應(yīng)TTL值是56，隔了8個(gè)路由。物理上假的設(shè)備離我近，所以偽造的HTTP響應(yīng)會(huì)先到——比較有意思的是，筆者實(shí)際監(jiān)測(cè)時(shí)候發(fā)現(xiàn)也有偽造包晚到導(dǎo)致劫持失敗的情況。

推測(cè)是一個(gè)旁路設(shè)備偵聽(tīng)所有的數(shù)據(jù)包，發(fā)現(xiàn)請(qǐng)求京東首頁(yè)的HTTP請(qǐng)求就立即返回一個(gè)定制好的HTTP響應(yīng)。