通信人家园
标题:
基于TTL的报文劫持分析
[查看完整版帖子]
[打印本页]
时间:
2021-10-5 17:36
作者:
lxtxwyl
标题:
基于TTL的报文劫持分析
本帖最后由 lxtxwyl 于 2021-10-5 17:37 编辑
在日常分析过程中,经常出现封堵或者异常劫持等问题导致的客户投诉,针对这种情况,可以通过分析wireshark 的报文来判断是否出现了劫持。
首先是分析三次握手的报文,该部分报文由于是tcp报文非http报文,很少出现握手期间出现劫持。例如此处出现的服务返回的报文的ttl 是51.
2021-10-5 17:37 上传
下载附件
(145.94 KB)
TCP建链报文
再分析后续报文中出现的http的响应报文,其TTL的值,例如此处出现的ttl的值是59,与上面的差异非常大,基本可以判定此处报文有劫持,再结合后续报文,是否有标示为重传的ttl 为51的源站报文,基本确认是否有劫持现象。
2021-10-5 17:36 上传
下载附件
(93.54 KB)
http响应报文
由于源站的响应可能是基于负载均衡器建链,而后面的服务器直接响应的情况,这种方法分析可能也存在一定概率的不准确,可以结合后续报文是否有重传相同的报文来进一步判断。
附件: [http响应报文]
2.png
(2021-10-5 17:36, 93.54 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDk5Mjc4fGU4MDgzYTQ4fDE3NTY5NTE0NDR8MHww
附件: [TCP建链报文]
1.png
(2021-10-5 17:37, 145.94 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDk5Mjc5fDk4ZjM4ODZlfDE3NTY5NTE0NDR8MHww
时间:
2021-10-6 12:23
作者:
luyimin
没卵用,就算是劫持你能拦截那个包吗。
而且最爱劫持的不就是你们运营商吗?
通信人家园 (https://www.txrjy.com/)
Powered by C114
附件: [http响应报文] 2.png (2021-10-5 17:36, 93.54 KB) / 下载次数 0附件: [TCP建链报文] 1.png (2021-10-5 17:37, 145.94 KB) / 下载次数 0