记一次联通路由器劫持的分析过程
既然QQ能登陸也就代表本地已經(jīng)撥出去了外網(wǎng)實(shí)際是沒(méi)問(wèn)題的頂多只是DNS的故障,但是頁(yè)面“被”跳轉(zhuǎn)就不屬于這類(lèi)問(wèn)題了。所以我懷疑中毒了而且是IE劫持。
在此順便給大家普及下計(jì)算機(jī)中“劫持”這詞,劫持可以分為分很多種,有大家常常聽(tīng)見(jiàn)的那些廣泛的也有較為狹窄較為針對(duì)性的,比如大家常說(shuō)的映象劫持它其實(shí)也可以叫做進(jìn)程劫持,如果它是通過(guò)DLL注入映象或者注入內(nèi)存的話也可以叫做DLL劫持。
還有一種常見(jiàn)的“網(wǎng)絡(luò)劫持”,它其實(shí)也有著更加廣泛的名詞,比如修改HOSTS文件植入X.acme代碼屏蔽站點(diǎn)或跳轉(zhuǎn)指定頁(yè)面,這種較為針對(duì)性可以稱(chēng)為HOSTS劫持,用類(lèi)似ettercap這樣的工具做中間人毒化網(wǎng)關(guān)通過(guò)本地腳本來(lái)完成數(shù)據(jù)重定向這種叫做ARP劫持或路由器劫持,利用路由的JS或http(數(shù)據(jù))這些有重定向和編輯功能的來(lái)植入數(shù)據(jù)或轉(zhuǎn)發(fā)數(shù)據(jù)可以針對(duì)性的叫做“JS劫持”、“頁(yè)面劫持”或“路由器劫持”。這是一個(gè)無(wú)底洞有著許許多多的說(shuō)法但大伙都習(xí)慣了用大眾化的名詞來(lái)稱(chēng)呼這些劫持事件,比如一個(gè)監(jiān)聽(tīng)和劫持注冊(cè)表的事件直接稱(chēng)為系統(tǒng)劫持,一個(gè)LSP協(xié)議劫持稱(chēng)為網(wǎng)絡(luò)劫持。的這里說(shuō)的IE劫持是指針對(duì)本地IE組件的一種非法刪改或利用其它進(jìn)程監(jiān)聽(tīng)頁(yè)面請(qǐng)求數(shù)據(jù)來(lái)達(dá)成跳轉(zhuǎn)的一種目的。
首先檢查了下IE中的插件和設(shè)置都沒(méi)有異常,查看了hosts文件無(wú)異常,同時(shí)打開(kāi)一個(gè)QQ會(huì)話窗口點(diǎn)擊QQ秀發(fā)現(xiàn)面板里跳轉(zhuǎn)的還是聯(lián)通寬帶的頁(yè)面,排查了很多表明IE是沒(méi)問(wèn)題的不存在組件被劫持,那么下面只能排查網(wǎng)絡(luò)了也許是DNS劫持,我追蹤了下路由躍點(diǎn)。
數(shù)據(jù)流向都沒(méi)問(wèn)題其中一個(gè)100.64.0.1是電信NAT都很正常,又試了下清理緩存和手動(dòng)配置DNS。
一切都OK,電腦沒(méi)有中毒網(wǎng)絡(luò)流向也很正常不存在ARP和DNS劫持那么是什么讓我的http數(shù)據(jù)被劫持跳轉(zhuǎn)到了其他頁(yè)面呢?
困惑了很久我想到頁(yè)面,排查了一圈這個(gè)網(wǎng)站從頁(yè)面元素到檢查代碼和抓包分析都表明這個(gè)頁(yè)面是一個(gè)正常頁(yè)面不存在惡意行為,那到底是哪方面疏忽了呢?剩下的只有一個(gè)了那就是路由器本身,說(shuō)也奇怪朋友的路由器是聯(lián)通的但是寬帶卻是電信AD,原本路由器是很早前辦理寬帶聯(lián)通送的一個(gè)非常簡(jiǎn)單連端口映射和DHCP分配列表這些基本東西都沒(méi)有,甚至固件版本和內(nèi)部信息都無(wú)法查看,由于無(wú)法查看到它內(nèi)部定位不到固件文件但不管怎么說(shuō)我都確定是它的問(wèn)題,能做這種事的簡(jiǎn)直是無(wú)恥加惡心之前遇到過(guò)營(yíng)運(yùn)商對(duì)路由器的DNS劫持也只是小面積的事件比如對(duì)指定頁(yè)面引入的jQuery植入特定參數(shù),和小部分URL數(shù)據(jù)跳轉(zhuǎn)但這次它居然無(wú)恥到了全局劫持,簡(jiǎn)直無(wú)恥到極點(diǎn)!
后面我重刷了一遍路由固件果不其然問(wèn)題馬上解決了。。
總結(jié)
以上是生活随笔為你收集整理的记一次联通路由器劫持的分析过程的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 关于代理的一些工具软件
- 下一篇: 超火表白代码,心心(html+css)