admin 管理员组文章数量: 1086019
2024年3月14日发(作者:兼职python工资一般多少)
ELECTRONICS WORLD
・
探索与观察
互联网安全日益重要,在访问互联网部分内容时,时常有广告
弹出,严重影响了用户的使用感知;同时对现网也存在巨大的安全
隐患,这个尤为重要。本文从运营商角度就广告的插入从实际案例
入手,进行分析说明,通过Cache和分光等不同厂家的配合,利用
对设备的简单配置,提取分析数据,来具体定位广告是从何插入;
同时将其原理和现象以及排查的过程和如何定位做出说明。最后说
明如何避免此种形式的篡改插入。
下面我们通过实际案例来说明广告插入的形式,广告插入形式多种
多样,方法也是多种多样,该案例虽然是其中一种,但是这种形式比较
普遍并且较有代表性。我们将分;故障现象,分析原因,原理介绍,定
位排查,数据提取,追查原因,总结建议;七部分来阐述这个问题。
1 故障现象
使用手机连接宽带网络WIFI环境下,访问某些业务时,会有广告弹
出。访问的有页面,或者app应用,均有该现象产生。具体现象为,在
屏幕最下方显示一条推送的广告,该广告可以手动进行关闭(图1,访
问爱奇艺手机页面,下方有广告弹出)。关闭后,退出本次访问的应用
(网页或app)重新进入后,无广告现象,说明广告的弹出同时具有时
效型。经过反复复测发现,同一地
址访问的同一内容,广告弹出的大
概间隔时间在20分钟以上。
2 分析原因
针对该现象,使用wiresahrk
进行故障现象抓包,通过对抓包
分析,发现广告的弹出为域名
被劫持,并篡改了其返
回用户请求的代码。
域名是百度提
供的一项网站统计功能的服务。
如果站点使用了该项服务,且没
有升级为https加密方式的话,便
存在巨大的安全隐患,即插入不
安全代码。域名被劫持并篡改了
站点对用户请求响应的代码,返
回给用户的是插入了其他代码的
图1
响应体。图2,在弹出广告的时
候,域名请求被拦截,并篡改了源站响应返回给了用
户。蓝色部分是被篡改的返回代码。
图2
同样我们抓取了正确的网站返回的请求体,其域名正确的返回
如下,图3所示,蓝色部分明显未出现植入的非法代码。
3 原理介绍
非法劫持原理,从运营商角度来看主要是非法分光劫持,是指
在运营商的内容网络中利用了正常的分光或其他形式,非法获取了
用户请求,模仿源站进行伪造应答,应答包里嵌套恶意代码,对网
互联网内容插入广告的可行性分析
——以被劫持篡改插入代码为例
中移铁通河北分公司 吴 刚
络存在极大的安全隐患,同时导致用户对源站进行二次页面访问,
正常业务均来自源站,在不影响用户感知的情况下从中获取利益。
原理图4,该案例具体情况图5所示。
图3
图4 原理图
图5 该案例实际劫持流量径路图
4 定位排查
经过抓包和分光的排查,定位为一厂家的设备组,拦截了
域名,并做出了相应回包。测试过程如下。
1)关闭分给该厂家的get请求分光,图6,关闭时间0:33分。
图6
2)等待大于20分钟以上的时间进行测试,相同手机不同wifi,
不同手机不同wifi,分别测试,选取和有广告现象一直的爱奇艺进
行访问。均无广告弹出。时间是01:06和01:07分。说明在0:33分关
闭给厂家get请求后,经过30多分钟仍然没有出现广告,说明已经
•
45
•
ELECTRONICS WORLD
・
探索与观察
无广告弹出(图7)。
图7
3)测试后立即打开分给厂家的get请求分光(图8),时间1:09分。
图8
4)打开后立即进行测试并记录,测试相同手机不同wifi;不同
手机不同wifi,分别测试。均有广告弹出。
时间均是01:10分,说明打开分给该厂家分光后广告立即出
现,可定位为此厂家存在问题(图9)。
图9
5 数据提取
配置策略抓取篡改记录,以提取数据作为该厂家插入广告的数
据支撑。在省核心设备和该厂家设备的接口入方向上配置策略,用
以记录伪造源站数据包的返回用户请求的流量;位置点图10。
图 10
流策略配置如下:
acl number 3099
rule 5 permit ip source ***.***.***.*** 0
•
46
•
创建3099acl 源地址是百度异常域名的IP
traffic classifier cachecache operator or
if-match acl 3099
创建类,匹配acl3099
traffic behavior cachecache
创建动作,
traffic policy cachecache
share-mode
statistics enable
classifier cachecache behavior cachecache precedence 1
将类和动作绑定,并使能统计。
interface Eth-Trunk3
description [设备描述]Eth-Trunk3-[设备描述]Eth-Trunk1
ip address 接口地址 255.255.255.252
ip netstream inbound
ip netstream monitor xflow inbound
traffic-policy cachecache inbound
在接口下应用流策略,方向是inbound,监测从厂家网络设备
发出的域名IP的报文
配置完毕,并进行测试,统计结果如下,以下是开始统计Eth-
Trunk 3 in方向监测到的报文。
计算两次统计差值584+786-430-466=294,统计到数据报文近300
个,5/s。
阶段性总结,结合抓取的数据和以上的分析判断,说明该厂家在截
取用户get请求后,伪造源站返回给用户。同时将返回的报文
代码篡改,植入了广告,造成用户在访问应用的时候,屏幕弹出广告。
6 追查原因
经厂家查询,原因为其服务设备的管理服务器中的某一进程受
到攻击,被恶意插入脚本所致。后经研发团队对服务器进行了补丁
修复,劫持篡改现象消失。
7 总结建议
通过对该问题的处理研究,提升了对广告插入分析排查的手段,
同时通过配置策略验证了插入源头,提取了有效数据。在以后的运维
工作中,需要采取相应手段进行布控,及时发现问题处理问题,缩小
问题波及范围,减少问题处理时间,提升用户应用感知。具体方法
为:1.通过借鉴其他领域的经验,可在相关服务器端布置监控代码,
可对容易插入广告的连接和域名进行有效的实时监控,并通过邮件或
短信形式,实时发现异常,及时处理。2.针对有可能存在隐患的服务
域名,建议服务提供商尽量采取https协议,建议使用者使用加密后的
协议,以确保域名访问的安全性,同时也提高域名的可用性。
注释:因为经测试在访问弹出广告后,如果短时间内再次访问
相同内容的话无广告弹出;不同wifi,代表出网的公网ip不同。
作者简介:吴刚(1980—),男,汉族,河北石家庄人,本科,工程
师,现工作于中移铁通河北分公司,研究方向:互联网内容实际应用。
版权声明:本文标题:互联网内容插入广告的可行性分析——以hm.baidu.com被劫持篡改插入代码 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://roclinux.cn/p/1710350583a569041.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论