NetreSec 谈天朝运营商数据包注入攻击及加密

16-03-07 来源：[db:作者]

收藏我要投稿

我们知道一些网络运营商会向用户的网络流量中注入虚假的内容。然而，几乎以前所有的工作都只在关注边缘 ISP ，即那些直接提供互联网接入给用户的。来自边缘 ISP 的包注入只会影响到他们的用户。然而，在我们的工作中我们发现不仅仅边缘的网络运营商会进行包注入，核心网络运营商也会这么做。这些运营商可能会改变访问预定网站所有用户的流量。
研究人员分析了 1.4PB 的 HTTP 流量，这些流量抓取自四个地方，三所大学和一家公司。他们提供了部分匿名的 PCAP 文件给予下载：../../~gnakibly/TCPInjections/samples.zip。
我们试图通过访问同样的 URL 来重建这些数据包，但很不幸是，我们大部分的努力都没有收到任何注入的响应。不过，我们还是触发了两组论文中发生的注入（“hao” and “GPWA”）。
重定向 hao.360.cn 到 hao123.com
在访问网站 www.02995.com 时我们获取到了非常可靠的注入包。我们决定分享这些包含注入的 PCAP 文件：https://www.netresec.com/files/hao123-com_packet-injection.pcap。
将 PCAP 文件加载到 CapLoader 里，对第一个 TCP 会话点击 “Flow Transcript” 即可看到如下：

从上面的截图中我们可以看到，客户端请求访问 http://www.02995.com/ 但收到了两个具有相同序列号(3820080905)的不同相应包。
第一个响应是 “302 Found”，跳转客户端到：http://www.hao123.com/?tn=93803173_s_hao_pg
第二个响应是 “302 Moved Temporarily”，试图重定向到：http://hao.360.cn/?src=lm&ls=n4a2f6f3a91
从 IP 的存活时间(TTL) 上来判断我们认为第一个响应 (hao123.com) 是注入包，而第二个包 (hao.360.cn) 是从 www.02995.com 服务器返回的真实响应。
如果你观察细心的话，你会发现注入的数据包没有使用标准的 CR-LF (0x0d 0x0a) 分割 HTTP 响应，注入包中只使用了 LF (0x0a) 作为 HTTP 头部的换行。
由于注入包先于真正的相应数据包，所以客户端被注入重定向到 www.hao123.com。下面是浏览器试图加载 www.02995.com 的截图：

SSL 加密是对数据包注入攻击的一种有效防护方式。所以当用户输入 https://www.02995.com 时浏览器会遵循真实的重定向到 hao.360.cn。

id1.cn 重定向到 batit.aliyun.com
在 Gabi 等人论文公开的 PCAP 文件中展示一个真实世界的包注入攻击，PCAP 文件下载链接：https://github.com/fox-it/quantuminsert/blob/master/presentations/brocon2015/pcaps/id1.cn-inject.pcap
这个 PCAP 文件由 Yun Zheng Hu (Fox-IT) 在 BroCon 2015的报告 “Detecting Quantum Insert” 中公开出来的。下面一个视频录像记录了 Yun Zheng 当时的演讲，包括一个 demo 演示包注入攻击（译者注：演示开始于视频33分56秒）：视频地址：http://v.qq.com/page/g/i/6/g01879102i6.html
我们通过访问 http://id1.cn 试图重新触发这个包注入攻击，随后我收到两个注入的 HTTP 响应试图重定向到 http://batit.aliyun.com/alww.html 。被注入后跳转到的页面上有一段来自阿里巴巴集团 (aliyun.com) 的消息说目标网站已被屏蔽。

我们同样准备分享这个针对 id1.cn 包注入攻击的 PCAP 文件：https://www.netresec.com/files/id1-cn_packet-injection.pcap。
使用 NetworkMiner Professional 打开这个 PCAP 文件后，打开 Browsers选项卡来分析多个 HTTP 重定向：

下面是我们分享对 id1.cn 攻击 PCAP 包中的一些要点：
1. Frame 13：打开 http://id1.cn
2. Frame 18：真实服务器返回响应，刷新 HTML 到 http://id1.cn/rd.s/Btc5n4unOP4UrIfE?url=http://id1.cn/
3. Frame 20：客户端收到两个注入包试图显示 “403 Forbidden” 并将页面重定向到 http://batit.aliyun.com/alww.html 。然而注入包抵达时间比真实数据包晚了。
4. Frame 24：客户端进程加载 http://id1.cn/rd.s/Btc5n4unOP4UrIfE?url=http://id1.cn/
5. Frame 25：出现两个新的注入响应，这次成功将客户端重定位到阿里巴巴的页面。
6. Frame 28：真实响应包抵达晚了。
7. Frame 43：用户打开阿里巴巴的页面收到提示信息网站被屏蔽了。
防止包注入攻击
最好防止 TCP 包注入攻击的方法就是使用 SSL 加密。依靠网站 HTTP 进行重定向到 HTTPS url 是远远不够的，因为这个重定向同样可能遭受包注入攻击，所以确保使用 “https://”（或者使用一个浏览器插件），从而避免遭受 TCP 包注入的影响。
相关抓包文件
下面是本文包含 PCAP 文件的汇总：
../../~gnakibly/TCPInjections/samples.zip
https://www.netresec.com/files/hao123-com_packet-injection.pcap
https://github.com/fox-it/quantuminsert/blob/master/presentations/brocon2015/pcaps/id1.cn-inject.pcap
https://www.netresec.com/files/id1-cn_packet-injection.pcap
更多的 PCAP 文件，可以访问 Netresec 公共 PCAP 文件列表下载：https://www.netresec.com/?page=PcapFiles

点击复制链接与好友分享!回本站首页