• 45
中国白酒品牌排名•
中移铁通河北分公司 吴 刚
互联网安全日益重要,在访问互联网部分内容时,时常有广告弹出,严重影响了用户的使用感知;同时对现网也存在巨大的安全隐患,这个尤为重要。本文从运营商角度就广告的插入从实际案例入手,进行分析说明,通过Cache 和分光等不同厂家的配合,利用对设备的简单配置,提取分析数据,来具体定位广告是从何插入;同时将其原理和现象以及排查的过程和如何定位做出说明。最后说明如何避免此种形式的篡改插入。
下面我们通过实际案例来说明广告插入的形式,广告插入形式多种多样,方法也是多种多样,该案例虽然是其中一种,但是这种形式比较普遍并且较有代表性。我们将分;故障现象,分析原因,原理介绍,定位排查,数据提取,追查原因,总结建议;七部分来阐述这个问题。
1 故障现象
使用手机连接宽带网络WIFI 环境下,访问某些业务时,会有广告弹出。访问的有页面,或者app 应用,均有该现象产生。具体现象为,在屏幕最下方显示一条推送的广告,该广告可以手动进行关闭(图1,访问爱奇艺手机页面,下方有广告弹出)。关闭后,退出本次访问的应用(网页或app )重新进入后,无广告现象,说明广告的弹出同时具有时
小学三年级数学上册期中试卷络存在极大的安全隐患,同时导致用户对源站进行二次页面访问,正常业务均来自源站,在不影响用户感知的情况下从中获取利益。原理图4,该案例具体情况图5所示。
图3
图4 原理图
图5 该案例实际劫持流量径路图
4 定位排查
经过抓包和分光的排查,定位为一厂家的设备组,拦截了hm.baidu 域名,并做出了相应回包。测试过程如下。
1)关闭分给该厂家的get 请求分光,图6,关闭时间0:33分。
电脑ip地址设置图6
2)等待大于20分钟以上的时间进行测试,相同手机不同wifi ,不同手机不同wifi ,分别测试,选取和有广告现象一直的爱奇艺进行访问。均无广告弹出。时间是01:06和01:07分。说明在0:33分关闭给厂家get 请求后,经过30多分钟仍然没有出现广告,说明已经
图1 效型。经过反复复测发现,同一地址访问的同一内容,广告弹出的大概间隔时间在20分钟以上。
2 分析原因
针对该现象,使用wiresahrk 进行故障现象抓包,通过对抓包分析,发现广告的弹出为域名hm.baidu 被劫持,并篡改了其返回用户请求的代码。
域名hm.baidu 是百度提供的一项网站统计功能的服务。如果站点使用了该项服务,且没有升级为https 加密方式的话,便存在巨大的安全隐患,即插入不安全代码。域名被劫持并篡改了站点对用户请求响应的代码,返回给用户的是插入了其他代码的
响应体。图2,在弹出广告的时
候,域名hm.baidu 请求被拦截,并篡改了源站响应返回给了用户。蓝部分是被篡改的返回代码。
图2
同样我们抓取了正确的网站返回的请求体,其域名正确的返回如下,图3所示,蓝部分明显未出现植入的非法代码。
3 原理介绍
非法劫持原理,从运营商角度来看主要是非法分光劫持,是指在运营商的内容网络中利用了正常的分光或其他形式,非法获取了用户请求,模仿源站进行伪造应答,应答包里嵌套恶意代码,对网
• 46
•
无广告弹出(图7
)。
图7
3)测试后立即打开分给厂家的get 请求分光(图8),时间1:09
分。
图8
4)打开后立即进行测试并记录,测试相同手机不同wifi ;不同手机不同wifi,分别测试。均有广告弹出。
时间均是01:10分,说明打开分给该厂家分光后广告立即出现,可定位为此厂家存在问题(图9
)
。
图9
5 数据提取
配置策略抓取篡改记录,以提取数据作为该厂家插入广告的数据支撑。在省核心设备和该厂家设备的接口入方向上配置策略,用以记录伪造源站数据包的返回用户请求的流量;位置点图10
有哪些好听的歌曲。
图 10
流策略配置如下:acl number 3099
rule 5 permit ip source ***.***.***.*** 0
创建3099acl 源地址是百度异常域名的IP traffic classifier cachecache operator or if-match acl 3099创建类,匹配acl3099traffic behavior cachecache 创建动作,
史记 刺客列传traffic policy cachecache share-mode statistics enable
classifier cachecache behavior cachecache precedence 1将类和动作绑定,并使能统计。interface Eth-Trunk3
description [设备描述]Eth-Trunk3-[设备描述]Eth-Trunk1 ip address 接口地址 255.255.255.252 ip netstream inbound
ip netstream monitor xflow inbound traffic-policy cachecache inbound
在接口下应用流策略,方向是inbound ,监测从厂家网络设备发出的hm.baidu 域名IP 的报文
配置完毕,并进行测试,统计结果如下,以下是开始统计Eth-Trunk 3 in 方向监测到的报文。
计算两次统计差值584+786-430-466=294,统计到数据报文近300个,5/s 。
阶段性总结,结合抓取的数据和以上的分析判断,说明该厂家在截取用户get 请求后,伪造源站hm.baidu 返回给用户。同时将返回的报文代码篡改,植入了广告,造成用户在访问应用的时候,屏幕弹出广告。
6 追查原因
经厂家查询,原因为其服务设备的管理服务器中的某一进程受到攻击,被恶意插入脚本所致。后经研发团队对服务器进行了补丁修复,劫持篡改现象消失。
7 总结建议
通过对该问题的处理研究,提升了对广告插入分析排查的手段,同时通过配置策略验证了插入源头,
提取了有效数据。在以后的运维工作中,需要采取相应手段进行布控,及时发现问题处理问题,缩小问题波及范围,减少问题处理时间,提升用户应用感知。具体方法为:1.通过借鉴其他领域的经验,可在相关服务器端布置监控代码,可对容易插入广告的连接和域名进行有效的实时监控,并通过邮件或短信形式,实时发现异常,及时处理。2.针对有可能存在隐患的服务域名,建议服务提供商尽量采取https 协议,建议使用者使用加密后的协议,以确保域名访问的安全性,同时也提高域名的可用性。六峰山
注释:因为经测试在访问弹出广告后,如果短时间内再次访问相同内容的话无广告弹出;不同wifi,代表出网的公网ip 不同。作者简介:吴刚(1980—),男,汉族,河北石家庄人,本科,工程师,现工作于中移铁通河北分公司,研究方向:互联网内容实际应用。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论