基于TTL的报文劫持分析

lxtxwyl

在日常分析过程中，经常出现封堵或者异常劫持等问题导致的客户投诉，针对这种情况，可以通过分析wireshark 的报文来判断是否出现了劫持。
首先是分析三次握手的报文，该部分报文由于是tcp报文非http报文，很少出现握手期间出现劫持。例如此处出现的服务返回的报文的ttl 是51.

再分析后续报文中出现的http的响应报文，其TTL的值，例如此处出现的ttl的值是59，与上面的差异非常大，基本可以判定此处报文有劫持，再结合后续报文，是否有标示为重传的ttl 为51的源站报文，基本确认是否有劫持现象。

由于源站的响应可能是基于负载均衡器建链，而后面的服务器直接响应的情况，这种方法分析可能也存在一定概率的不准确，可以结合后续报文是否有重传相同的报文来进一步判断。