流量劫持是如何產(chǎn)生的?(三)
7. CDN入侵
CDN 能加速大家都知道航瞭,但其中原理不少人都不清楚诫硕。其實(shí),CDN 本身就是一種 DNS 劫持刊侯,只不過(guò)是良性的章办。
不同于黑客強(qiáng)制 DNS 把域名解析到自己的釣魚 IP 上,CDN 則是讓 DNS 主動(dòng)配合滔吠,把域名解析到臨近的服務(wù)器上纲菌。這臺(tái)服務(wù)器同樣也開(kāi)啟了 HTTP 代理,讓用戶感覺(jué)不到 CDN 的存在疮绷。
不過(guò) CDN 不像黑客那樣貪心翰舌,劫持用戶所有流量,它只『劫持』用戶的靜態(tài)資源訪問(wèn)冬骚,對(duì)于之前用戶訪問(wèn)過(guò)的資源椅贱,CDN 將直接從本地緩存里反饋給用戶,因此速度有了很大的提升只冻。
然而庇麦,只要是有緩存的地方,都是大有可為的喜德。一旦 CDN 服務(wù)器遭受入侵山橄,硬盤上的緩存文件就岌岌可危了,網(wǎng)頁(yè)被注入腳本舍悯,可執(zhí)行文件被感染航棱,一大波僵尸即將出現(xiàn)。
防范措施:感覺(jué)運(yùn)營(yíng)商不靠譜的話萌衬,換個(gè)第三方不帶加速的 DNS饮醇,或許就不會(huì)解析到 CDN 服務(wù)器上了。
不少 CDN 黑白通吃秕豫,為了省流量不按套路出牌朴艰,超過(guò)了緩存時(shí)間也不更新,甚至還有忽略 URL 問(wèn)號(hào)后面的混移,導(dǎo)致程序猿們?cè)谫Y源更新的問(wèn)題上頭疼不已祠墅。
8. 路由器弱口令
當(dāng)電腦價(jià)格一再下降,到了大家打算買第二臺(tái)的時(shí)候沫屡,路由器市場(chǎng)也隨之火熱起來(lái)饵隙。
但由于繁瑣的配置,差勁的用戶體驗(yàn)沮脖,至今仍有相當(dāng)部分的用戶不明白如何配置路由器金矛。192.168.1.1 和 admin/admin 幾乎成了國(guó)內(nèi)路由器的常量芯急。多少回,用這毫無(wú)技術(shù)含量的方法進(jìn)入網(wǎng)吧或圖書館的路由器后臺(tái)驶俊。
如果有人惡搞重啟路由娶耍,或者給他人限速,你得感謝他的仁慈饼酿,這都算不嚴(yán)重榕酒。要是把路由器的DNS給改了,那就相當(dāng)嚴(yán)重了故俐!公網(wǎng)的 DNS 劫持一般不會(huì)持續(xù)太久想鹰,但路由器的 DNS 劫持也許長(zhǎng)年累月都不會(huì)覺(jué)察到。
事實(shí)上药版,不乏一些安全意識(shí)強(qiáng)的用戶也使用默認(rèn)密碼辑舷。理由很簡(jiǎn)單,目前的路由器有兩道門檻:一個(gè) WiFi 連接密碼槽片,另一個(gè)才是管理密碼何缓。很多人設(shè)置了復(fù)雜的 WiFi 密碼就高枕無(wú)憂了,心想都連不到我的網(wǎng)絡(luò)里怎么可能進(jìn)的了后臺(tái)还栓?
之前我也有過(guò)這觀念碌廓,但總覺(jué)不對(duì)勁:萬(wàn)一家里其他電腦或手機(jī)中毒了,自動(dòng)嘗試用弱口令爆進(jìn)路由器后臺(tái)怎么辦剩盒。城門都被占領(lǐng)了谷婆,城墻再牢固又有何用。
事實(shí)上辽聊,黑客除了修改 DNS 配置外波材,還有更恐怖的行為:升級(jí)路由器的固件 —— 替換成一個(gè)看似完全相同但植入了惡意程序的固件!盡管這目前還尚未普及身隐,然而一旦流行,大批路由器將成為潘多拉魔盒唯灵。
防范措施:千萬(wàn)別輕視路由器的密碼贾铝,其實(shí)它比你所有賬號(hào)都重要。
不改默認(rèn)密碼的用戶埠帕,神都保佑不了你~
9. 路由器 CSRF
回到本文開(kāi)始所說(shuō)的垢揩,為什么有那么多路由器會(huì)出現(xiàn)這個(gè)漏洞呢?也許是路由器的開(kāi)發(fā)人員太高估用戶了敛瓷,認(rèn)為絕大多數(shù)用戶都修改了默認(rèn)密碼叁巨,因此 CSRF 幾乎難以產(chǎn)生。
事實(shí)上呐籽,國(guó)內(nèi)網(wǎng)民的安全意識(shí)遠(yuǎn)超他們的想象锋勺。加上剛才說(shuō)的蚀瘸,只設(shè)置了 WiFi 密碼而忽略了管理密碼,導(dǎo)致一個(gè)惡意程序就能悄悄進(jìn)入路由器后臺(tái)庶橱。
沒(méi)想到現(xiàn)在這種病毒還真出現(xiàn)了贮勃,而且居然還是 Web 版的!
CSRF 漏洞讓病毒木馬都用不著了苏章。用戶直接訪問(wèn)一個(gè)網(wǎng)頁(yè)寂嘉,甚至是一帖子,瀏覽器自動(dòng)向路由器發(fā)起修改配置的請(qǐng)求枫绅。
由于國(guó)產(chǎn)路由器的網(wǎng)頁(yè)開(kāi)發(fā)是如此的差勁泉孩,登錄基本都是用既不安全又丑陋的 HTTP 401 彈框。這種登錄只需在 URL 里填上『用戶名:密碼@』即可自動(dòng)通過(guò)并淋,即使登錄失敗也不會(huì)有什么提示寓搬。
防范措施:絕對(duì)要看管好路由器密碼,并且定期去檢查配置是否被篡改预伺。
看過(guò)路由器頁(yè)面源代碼會(huì)發(fā)現(xiàn)订咸,那簡(jiǎn)直是慘不忍睹,甚至還是 IE5 時(shí)代的風(fēng)格酬诀。路由器芯片都是采購(gòu)的脏嚷,內(nèi)核也有開(kāi)源的,所謂的『自主研發(fā)』就是做了那幾個(gè)頁(yè)面瞒御?
