一次网络劫持分析过程

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了一次网络劫持分析过程相关的知识,希望对你有一定的参考价值。

最近在维护的网站底部突然冒出一个横幅广告,而且在办公网没有发现,而通过WIFI就会显示广告,两个网段用的不是一个DNS或路由器网关。
由于遇到这种情况很多了,自然而然的就会想到是DNS劫持。

DNS是把域名解析到ip地址,DNS劫持就是在一定范围内,拦截并分析解析请求,解析到假的ip地址上。
目前最常见的做法是在网站中植入恶意代码,例如植入广告。

用Chrome怎么发现DNS劫持呢?
首先通过Chrome的开发工具查看广告的域名,通过Chrome的Ctrol+Shift+F搜索域名,就可以找出恶意代码插入位置的文件,一般是js文件。
打开js文件,查看headers的last-modified,可以确定服务器上文件最后修改时间。

网站使用了CDN技术,咨询CDN售后,可以知道这个文件被植入广告的时间。

对比两个时间,发现服务器上最后修改时间明显要早于CDN上修改时间,可以确定不是服务器上植入的广告,而是通过CDN或者网络中间劫持修改的。

解决办法:
手动修改DNS地址;
修改DHCP里DNS地址;
更换CDN节点;

以上是关于一次网络劫持分析过程的主要内容,如果未能解决你的问题,请参考以下文章

记我的一次账号劫持和BLIND XSS漏洞发现过程

记一次DNS劫持处理,部份运营商劫持

简书网页劫持分析,网站劫持,利用 CSP 预防劫持

如何分析网络爬虫?

逆向调试简书网页劫持分析,使用 Chrome DevTools 调试 JavaScript 技巧,利用 CSP 预防劫持

完整的一次 HTTP 请求响应过程