当前位置: 主页 > 网络架构 >

劫持监控,了解全国劫持状态

时间:2013-05-05 16:36来源:www.itkoala.com 作者:itkoala 点击:
每天有不计其数的网页请求、搜索请求会被各种途径劫持并重新定向,从而通过不法途径进行盈利,这种劫持动作一般是针对某些知名网站或搜索关键字进行,比如用户搜索apple这个词
欢迎大家分享自己的文档,请点击查阅:分享方法,Linux系统运维
如果你喜欢这文章,可以点击文章结尾处百度分享,分享到你的各种社区收藏,或推荐给朋友……


返回:海量运维、运营规划--linux网络架构规划首页
每天有不计其数的网页请求、搜索请求会被各种途径劫持并重新定向,从而通过不法途径进行盈利,这种劫持动作一般是针对某些知名网站或搜索关键字进行,比如用户搜索“apple”这个词,正常情况下浏览器会返回来自搜索引擎的搜索结果页面。但是有些ISP和恶意客户端会在该搜索请求到达搜索引擎之前将其拦截,然后将该搜索请求转发给某个在线营销网站、甚至是钓鱼网站,所以对劫持进行监测与防御,是对用户价值和产品价值提升有重要贡献。

劫持分类

按照劫持特征分类,劫持共三种,以百度的案例阐述如下:

1、跳转劫持,使用百度服务时,浏览器自动跳转至其它页面,如使用百度搜索内容,结果页跳转到360的搜索结果,或打开检索结果,自动跳转至其他网站内容,特征如下:

1)浏览器访问的url自动发生跳转变化,这种变化可以是域名的跳转,也可以是计费名的跳转,请求的主机域名发生变化,或访问的URL发生变化。
2)浏览器的url不变,但访问的服务端IP发生变化,用户被指向了非百度服务器的IP。

2、篡改劫持,浏览器展现的界面内容被恶意修改,如页面链接被篡改,或整个网页被修改成另外的网页,特征如下:

1)访问的网站域名与IP都未发生变化,但页面元素发生变化,与正版的页面元素不同,篡改或增加链接内容、文字。
2)访问的网站域名与IP都未发生变化,访问的页面元素增加,与正版的页面元素不同,针对搜索结果的风险标注。

3、弹窗劫持,用户在正常使用中,自动弹出广告页面,该广告可能是窗口展现,也可能全屏展现,特征如下:

1)由ISP运营商的运作,而发生的劫持行为,即以特定地区运营商为范围单位发生的弹窗劫持现象,当某一类劫持case发生的地区分仅布集中在某一个和几个地区时,则代表是ISP劫持。
2)由用户电脑中安装的客户端在后台运行程序,对用户进行弹窗劫持的行为。大范围劫持现象中,所有用户电脑中安装了相同的客户端程序,可认为有极大的客户端劫持可能,当某一类劫持case发生在全国范围内时,客户端劫持的可能性极大,记为客户端劫持。

劫持监测

因为所有劫持都会发生在浏览器下,所以劫持过程通过客户端监听浏览器实现,网页渲染过程中,如果发生劫持,加载的元素会出现非原始网页的元素,例如百度搜身关键词时,所有的结果页域名、元素都是百度的,假如出现非百度域名或元素,可以将这一类样本先划到疑似劫持的池子中,再通过劫持分类的特征,建立劫持模型,进行匹配,例如以下案例为典型的运营商劫持。

http://www.baidu.com

http://211.138.195.31/blank.html

http://211.138.195.31/style/university/index.jsp?paramStr=UGGOtheTLCd5n%2B%2B2vBMsSyzdVX587RKfLfk%2F

https://urs.microsoft.com/urs.asmx?MSURS-Client-Key=xYNbTaNlt5KjE4AjIcaP9g%3d%3d&MSURS-Patented-Lock=xg2CFrBp1iI%3d

http://211.138.195.31/style/university/style.css

http://211.138.195.31/js/timeoutcontrol.js

http://211.138.195.31/js/main_cm.js

http://211.138.195.31/js/inputcheck.js

https://urs.microsoft.com/urs.asmx?MSURS-Client-Key=SltxQBXSJuoMT4P7JJZvyw%3d%3d&MSURS-Patented-Lock=g79MKHrOYEE%3d

http://211.138.195.31/style/university/images/down.jpg

http://211.138.195.31/createVerifycode?1365359118964

http://211.138.195.31/style/university/images/em.gif

http://211.138.195.31/style/university/images/bglogin.jpg

转载请注明linux系统运维
http://www.linuxyw.com/linux/wangluojiagou/20130420/74.html

------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片