流量劫持在网络安全事件中比较常见,它是一种通过在应用系统中植入恶意代码、在网络中部署恶意设备、使用恶意软件等手段,控制客户端与服务端之间的流量通信、篡改流量数据或改变流量走向,造成非预期行为的网络攻击技术。
我们在日常生活中经常遇到的流氓软件、广告弹窗、网址跳转等都是流量劫持的表现形式。
流量劫持的主要的目的如下:引流推广 钓鱼攻击;访问限制;侦听窃密。
根据影响的协议、网络的不同,流量劫持可大致分为:DNS 劫持、HTTP 劫持、链路层劫持等。
1.DNS 劫持
DNS 劫持攻击目标为提供 DNS 解析的设备或文件。因此,常见的DNS劫持攻击手法分为:本地 DNS 劫持、路由器 DNS 劫持、中间人 DNS 攻击、恶意DNS服务器攻击。
(1)本地 DNS 劫持,通过修改本地 hosts 文件、更改本地 DNS 设置(非流量劫持)实现攻击。
(2)路由器 DNS 劫持,利用弱密码、固件漏洞等,攻击路由器,更改路由器DNS 设置。
(3)中间人 DNS 攻击,通过拦截 DNS 查询请求,返回虚假 IP,实现攻击。
(4)恶意 DNS 服务器攻击,即通过直接攻击 DNS 服务器,更改 DNS 记录。
2.HTTP 劫持
HTTP 劫持的关键点在于识别 HTTP 协议,并进行标识。因此,HTTP 劫持方法较为单一,主要目的