所谓tcp劫持,是在已经成功建立的tcp连接上,插入、删减、修改数据,必要时还需要修改th_seq,th_ack。
早期的tcp hijacking基于TCP ISN可预测的事实,可以进行blind hijacking,技术含量较高。现在的电信搞的tcp hijacking不是blind hijacking,因为这群流氓是路由掌控者,它们完全是串在线路上的,不用猜测th_seq、th_ack,比sniffer到数据再处理还方便快捷,完全是在转发过程中进行hijacking。
电信目前的hijacking大多技术含量较低,往往只修改最后一个http协议响应报文,因http协议不保持长连接,很快就会关闭tcp连接,修改这最后一个的好处就是完全不用顾忌th_seq、th_ack。
tcp hijacking与dns hijacking是完全不同的概念。同时dns hijacking与dns spoofing也是不同的概念。一般提hijacking,是指在半路上搞的小动作,而不是在服务端搞的小动作。比如你控制了你所请求的域名的权威名字服务器,此时一般说dns spoofing。比如你没有控制任何DNS Server,但你在半路上某个节点处可以插入伪造好的A记录查询响应报文,使客户端得到错误的IP,这种我们称之为DNS Hijacking。GFW过去干这种事不少,早期干得也不高明,现在要高明一些了。加上中国现在有了根服务器,如果简单使用国内的DNS Server,很可能被恶心到。
标签: 互联网
0 Comments:
订阅:
博文评论 (Atom)