本站于2023年9月4日。收到“大连君*****咨询有限公司”通知
说我们IIS7站长博客，有一篇博文用了他们的图片。
要求我们给他们一张图片6000元。要不然法院告我们

为避免不必要的麻烦，IIS7站长博客，全站内容图片下架、并积极应诉
博文内容全部不再显示，请需要相关资讯的站长朋友到必应搜索。谢谢！

另祝：版权碰瓷诈骗团伙，早日弃暗投明。

相关新闻：借版权之名、行诈骗之实，周某因犯诈骗罪被判处有期徒刑十一年六个月

叹！百花齐放的时代,渐行渐远!

---

一、基本概念

     这种攻击发生在传输层中，是指网络链路上侦听、伪造TCP包，达到控制目标网络链路的行为。最常见的就是某些设备实现的对非法站点的访问拦截，以及一些地区运营商的网页植入广告行为。
因为广域网的链路劫持影响面大，一般会影响一个地区甚至是全国，所以本文重点讨论广域网的TCP链路劫持，局域网的劫持如ARP攻击不在讨论范围。

二、分类

     目前发现的TCP链路劫持攻击一般有两种形式：终中断访问型（分为单向阀包和双向发包）和替换页面型。

2.1 终端访问型
     常见于阻止用户访问某些网站，如某些设备禁止用户访问某些站点、某地运营商的禁止ADSL多终端上网功能。其原理就是伪造服务端给用户发RST包阻止TCP连接的建立（单向发包）。更新一步，某些设备在冒充服务端给用户发RST包的同时也冒充用户给服务端发RST包（双向发包）。

2.2 替换页面型

     常见于运营商植入广告，也有篡改正常网页进行SEO、骗流量的。原理很简单，就是在一个HTTP请求后伪造服务端的HTTP响应给客户端。三、检测

3.1 被动检测

     抓到可以包之后关注两个关键点：TTL值和IP Id（Identification）。根据实际观测，伪造的TCP包的TTL值和Id是不符合逻辑的。
     比如真实包的TTL是53，Id是按顺序自增的，而伪造的包的TTL是64，Id始终是0.
     通过伪造的TTL值就可以大致定位侦听设备的位置。

3.2 主动检测

     客户端访问目标站点的时候，同一个TCP会话的TTL值发生较大变动，就可以判定为疑似劫持。以下python代码就是一个利用Scapy检测TCP链路劫持的示例：

#!/bin/python
# 
#
 
import sys
from scapy.all import *
conf.verb=0
 
print "TCP Hijacking Delector"
print "[+] Sniffing ...."
ip_arr = {}
while 1:
 a=sniff( filter="tcp and src host not 10.26.234.44", count=50)
 for b in a:
  ip_src = b.sprintf(r"%IP.src%")
  ip_ttl = b.sprintf(r"%IP.ttl%")
  if ip_arr.has_key(ip_src):
   c = int(ip_ttl) - int(ip_arr[ip_src])
   if abs(c) > 4:
    print ip_src + " has been hijacking !!!   debug info : " + str(ip_ttl) + "  <-> " + str(ip_arr[ip_src])
  else:
   ip_arr[ip_src] = ip_ttl
 print "=>"

3.3 针对TCP链路劫持
     双向RST的情况，部署在机房的IDS可以发现端倪。
     如果是替换页面型攻击，页面hash或者HTML元素个数会有异常，这里也可以作为一个监测点。

四、防范
     防范链路劫持虽然很困难，但并非不可能。
     方法有网站全程使用SSL；在客户端或服务器丢弃伪造的TCP包。