posted by wap, platform: MAC OS X
浏览器插件。
运营商。
路由器。
等等。

可疑对象太多了。

posted by wap, platform: Chrome
国产浏览器，国产去广告软件，这两者嫌疑最大。

能力有限，一时半会也找不到什么原因，现在把https://www.jd.com添加到收藏夹里了，暂时还没发生过跳转的情况。
我是chrome+adblock，路由器刷的梅林，开了去视频广告的插件，不知道有没有嫌疑。


不知道为啥，我总觉得运营商嫌疑最大

几年前有人分析过……


某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东，心里第一个反应就是中木马了。


竟然有这样的事，一定要把木马大卸八块。




【原因排查】


首先在重现的情况下抓包，京东官网确实返回了一段JavaScript让浏览器跳转到了yiqifa.com。


下图是应用层的抓包。

服务器返回的代码导致跳转，基本可以排除本地木马，推测是网络或者服务器的问题。根据笔者的经验，这种情况很大可能是链路上的流量劫持攻击。当然也不能排除京东服务器被黑的情况。


继续排查。应用层已经不行了，我们要用Wireshark抓网络层的包。

从Wireshark结果可以看到，网络上出现了两个京东的HTTP响应。第一个先到，所以浏览器执行里面的JavaScript代码转到了yiqifa.com；第二个HTTP响应由于晚到，被系统忽略（Wireshark识别为out-of-order）。


两个京东的HTTP响应包，必然一真一假。快揭示真相了。


再来看看两个HTTP响应的IP头。


第一个包TTL值是252，第二个包TTL值是56，而之前TCP三次握手时京东服务器的TTL值是56，故可以判断先到的包是伪造的，真的包晚到而被系统忽略。

至此，确认是链路上的劫持。


更多链路劫持攻击的信息可以先看看笔者之前写的文章《链路劫持攻击一二三》。




【攻击方式】


继续分析伪造的数据包。


伪造包的TTL值是252，也就是说它的原始TTL值应该是255（大于252的系统默认TTL值只能是255了，一般不会修改），也就表明攻击者的设备离我隔了3个路由；而正常的京东网站的HTTP响应TTL值是56，隔了8个路由。物理上假的设备离我近，所以伪造的HTTP响应会先到——比较有意思的是，笔者实际监测时候发现也有伪造包晚到导致劫持失败的情况。


推测是一个旁路设备侦听所有的数据包，发现请求京东首页的HTTP请求就立即返回一个定制好的HTTP响应。大致的攻击示意图如下。

当时笔者推测攻击者在链路上大动干戈应该不会只针对一个网站，于是就访问了下易迅、淘宝、天猫这些电商网站，结果发现易迅也受到同样的攻击。看起来这次流量劫持的目的是将电商网站流量导给返利联盟，通过返利联盟获得当前用户成交金额的返利。


基本确认运营商有问题，但是无法确认是运营商官方故意的还是遭到黑客攻击或者是内部人士偷偷搞的。


【攻击源定位】


来看看当时的路由结果：

如果按初始TTL值为255来算，HTTP包到达本机后为252，推算出经过了3（255-252）个路由，出问题的地方就在第4个路由附近，也就是这里的119.145.220.86（属于深圳电信）。


当然了，虽然基本可以确认是第四个路由附近的问题（笔者连续几天抓包，伪造的HTTP响应包TTL值一直是252），但是不排除设备故意构造一个初始TTL值（比如设置为254）来增加追查难度，为了严谨的治学态度及避免被攻击者迷惑，所以证据要坐实了。


定位比较简单，既然攻击设备是旁路侦听数据包，可以推测它是基于包而非状态的，我们构造被侦听的数据包（也就是直接发出访问京东首页的HTTP请求TCP包，不需要三次握手）多次发送，TTL值从1开始递增，精确地传递数据包到每一个路径上，直到出现伪造响应——没有问题的位置是不会有响应的，第一个出现伪造响应的位置就是出问题的位置。


这个时候就需要一个数据包构造工具了，基于Python的Scapy或者Windows下的XCAP都行。


于是一路发过去，TTL值等于4的时候伪造的响应包出现了——确认就是第四跳路由出问题了，同时119.145.55.14回复了Time-to-live Exceeded的ICMP包。

【问题处理】


有了充分证据，于是整理了一个图文并茂的文档通过腾讯安全应急响应中心向深圳电信报障。


一天后得到运营商答复：“经核查，深圳本地没有进行推送，经网上查询有木马或病毒会导致此现象，非电信网内问题，请进行杀毒后再测试，谢谢”。运营商还附送了这则2013年的新闻：《淘宝易迅纷纷遭木马劫持，电脑管家独家首发专杀工具》。


不过从当天晚上起，我再在ADSL环境测试，就没有发现这种流量劫持现象了。

posted by wap, platform: Galaxy S7 Edge
电信内部员工就靠这个发财了

posted by wap, platform: 小米NOTE
不至于是运营商官方。
之前去大连。联通提过能不能帮忙抓改包推广告的。说有人买了IDC机房流量租了服务器偷偷干这个。结果个人用户发现自己被改包推了广告截图投诉联通。联通郁闷死了。
运营商现在被曝光后广告基本属于红线不敢碰了，最多推推缴费信息。

另外一种类似的赚钱野路子是改包骗百度推广链接。把各个挂百度联盟的小网站有效点击改成自己的网站触发的，一天也不少挣百度的钱。。。

posted by wap, platform: Chrome
浏览器的吧
据我所知七星浏览器就一直干这事，劫持京东淘宝，https也没用

posted by wap, platform: Android
马克学习一下

我的chrome装了一堆插件，现在打开JD是这个
https://www.jd.com/?cu=true& ... a288f2083&abt=3

我用edge开JD就一切正常

posted by wap, platform: Android
如果怀疑是插件的锅，可以把插件都禁用再试试。我这因为不是每次都跳转，所以不好判断到底是插件还是其他引起的

港真，珠三角的电信网络似乎没试过这类跳转的

上张大妈点链接这种跳转的应该有，不过也是预料中事了