流量劫持是如何产生的？（三）

2014-07-15 本文已影响50人 LinuxNerd

CDN 能加速大家都知道，但其中原理不少人都不清楚。其实，CDN 本身就是一种 DNS 劫持，只不过是良性的。

不同于黑客强制 DNS 把域名解析到自己的钓鱼 IP 上，CDN 则是让 DNS 主动配合，把域名解析到临近的服务器上。这台服务器同样也开启了 HTTP 代理，让用户感觉不到 CDN 的存在。

不过 CDN 不像黑客那样贪心，劫持用户所有流量，它只『劫持』用户的静态资源访问，对于之前用户访问过的资源，CDN 将直接从本地缓存里反馈给用户，因此速度有了很大的提升。

然而，只要是有缓存的地方，都是大有可为的。一旦 CDN 服务器遭受入侵，硬盘上的缓存文件就岌岌可危了，网页被注入脚本，可执行文件被感染，一大波僵尸即将出现。

防范措施：感觉运营商不靠谱的话，换个第三方不带加速的 DNS，或许就不会解析到 CDN 服务器上了。

不少 CDN 黑白通吃，为了省流量不按套路出牌，超过了缓存时间也不更新，甚至还有忽略 URL 问号后面的，导致程序猿们在资源更新的问题上头疼不已。

当电脑价格一再下降，到了大家打算买第二台的时候，路由器市场也随之火热起来。

但由于繁琐的配置，差劲的用户体验，至今仍有相当部分的用户不明白如何配置路由器。192.168.1.1 和 admin/admin 几乎成了国内路由器的常量。多少回，用这毫无技术含量的方法进入网吧或图书馆的路由器后台。

如果有人恶搞重启路由，或者给他人限速，你得感谢他的仁慈，这都算不严重。要是把路由器的DNS给改了，那就相当严重了！公网的 DNS 劫持一般不会持续太久，但路由器的 DNS 劫持也许长年累月都不会觉察到。

事实上，不乏一些安全意识强的用户也使用默认密码。理由很简单，目前的路由器有两道门槛：一个 WiFi 连接密码，另一个才是管理密码。很多人设置了复杂的 WiFi 密码就高枕无忧了，心想都连不到我的网络里怎么可能进的了后台？

之前我也有过这观念，但总觉不对劲：万一家里其他电脑或手机中毒了，自动尝试用弱口令爆进路由器后台怎么办。城门都被占领了，城墙再牢固又有何用。

事实上，黑客除了修改 DNS 配置外，还有更恐怖的行为：升级路由器的固件 —— 替换成一个看似完全相同但植入了恶意程序的固件！尽管这目前还尚未普及，然而一旦流行，大批路由器将成为潘多拉魔盒。

防范措施：千万别轻视路由器的密码，其实它比你所有账号都重要。

不改默认密码的用户，神都保佑不了你~

回到本文开始所说的，为什么有那么多路由器会出现这个漏洞呢？也许是路由器的开发人员太高估用户了，认为绝大多数用户都修改了默认密码，因此 CSRF 几乎难以产生。

事实上，国内网民的安全意识远超他们的想象。加上刚才说的，只设置了 WiFi 密码而忽略了管理密码，导致一个恶意程序就能悄悄进入路由器后台。

没想到现在这种病毒还真出现了，而且居然还是 Web 版的！

CSRF 漏洞让病毒木马都用不着了。用户直接访问一个网页，甚至是一帖子，浏览器自动向路由器发起修改配置的请求。

由于国产路由器的网页开发是如此的差劲，登录基本都是用既不安全又丑陋的 HTTP 401 弹框。这种登录只需在 URL 里填上『用户名:密码@』即可自动通过，即使登录失败也不会有什么提示。

防范措施：绝对要看管好路由器密码，并且定期去检查配置是否被篡改。

看过路由器页面源代码会发现，那简直是惨不忍睹，甚至还是 IE5 时代的风格。路由器芯片都是采购的，内核也有开源的，所谓的『自主研发』就是做了那几个页面？