dns劫持-劫持|镜像劫持|域名劫持|流量劫持|ie被劫持|百度快照劫持|pr劫持|反劫持


流量劫持 

劫持黑客排行榜第一名伟哥QQ2902206320

流量劫持,就是利用各种恶意软件,木马修改浏览器、锁定主页或不停弹出新窗口等方式,强制用户访问某些网站,从而造成用户流量损失的情形。 


基本定义

说起流量劫持,多数网民以为跟自己没多大关系,不少人还将这个概念与最近热门的“偷流量”混淆。
其实所谓偷流量,简单来说就是有人实际只用了50MB流量,但被后台计算为100MB,根本原因是计算流量时动了手脚。 [2] 
而流量劫持是一个完全不同的概念。流量,就是网络上传输的数据量。正常上网时,数据会在网民的客户端与正确的网站服务器之间传输,我们才能浏览网页、下载歌曲、收看视频。如果你原本想访问A网站,但是有人偷偷做了手脚,让你实际上打开的是B网站,这就叫流量劫持。

劫持方法编辑
流量劫持有多种方法,其中一种是DNS劫持。DNS是负责域名解析的服务器,一旦黑客破坏了DNS解析的过程,输入域名后,可能转化为黑客指定的IP地址,用户往往很难看出破绽,但所有的流量都会转向黑客指定的虚假的服务器,黑客不但可以很容易获取各种密码、个人信息等,还可以植入木马病毒,盗窃个人财产。


在网络世界,用户花钱购买的流量是用户上网的通行证,舍此别无其他。显然,流量具有法律意义上的财产属性,未经本人许可,他人不能非法劫持。劫持流量,与非法占有或窃取他人财产没有任何本质区别。然而,由于长期以来没有将劫持流量的行为定义为犯罪,一些不法之徒对劫持他人流量乐此不疲,并将其作为一种快速牟利的手段。即使因劫持他人流量被判决承担民事赔偿责任,劫持者还是抱着大不了赔钱了事的侥幸心态,依然我行我素,甚至铤而走险,以致流量劫持成了网络世界久治不愈的顽疾。 [1] 
认为劫持流量不承担刑事责任是一种误解。虽然刑法没有直接设置劫持流量罪,但这并不意味着劫持流量的行为不构成犯罪。从劫持流量产生的恶劣后果来看,其行为不仅导致了用户因为流量流失而遭受经济损失,而且也因恶意软件的强行植入造成计算机系统的破坏,给网络的正常运行带来极大的安全隐患,符合刑法第286条关于破坏计算机信息系统罪的构成要件。相关法条对该罪的处罚十分严厉,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

http劫持


在用户的客户端与其要访问的服务器经过网络协议协调后,二者之间建立了一条专用的数据通道,用户端程序在系统中开放指定网络端口用于接收数据报文,服务器端将全部数据按指定网络协议规则进行分解打包,形成连续数据报文。
用户端接收到全部报文后,按照协议标准来解包组合获得完整的网络数据。其中传输过程中的每一个数据包都有特定的标签,表示其来源、携带的数据属性以及要到何处,所有的数据包经过网络路径中ISP的路由器传输接力后,最终到达目的地,也就是客户端。
HTTP劫持是在使用者与其目的网络服务所建立的专用数据通道中,监视特定数据信息,提示当满足设定的条件时,就会在正常的数据流中插入精心设计的网络数据报文,目的是让用户端程序解释“错误”的数据,并以弹出新窗口的形式在使用者界面展示宣传性广告或者直接显示某网站的内容。

需要注意的是,HTTP劫持通常不是定时在你的系统中出现的,只有病毒引起的恶意推广才会不停地出现在你的视线中。并且HTTP劫持往往是在你进行网络操作刚刚开始的时候,例如,你刚刚打开了旺旺、登录邮箱或访问的网站还未完全打开时,劫持才会出现。
这种劫持导致的最常见的现象就是弹出宣传页面,这种页面会突然跳出来,而且显示速度很快,比你要访问的网站提前很多。

如果确认遭遇了HTTP劫持,可以向ISP客服强烈投诉,来达到免于被劫持的目的。因为劫持技术本身设计中包括类似黑名单的功能,如果收到宽带用户的强烈反对,ISP会将该用户放入“黑名单”过滤掉,于是用户在短期内就不会遇到劫持的情况了。

DNS劫持 

DNS劫持又称域名劫持,是指在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则返回假的IP地址或者什么都不做使请求失去响应,其效果就是对特定的网络不能访问或访问的是假网址。

DNS(域名系统)的作用是把网络地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址),以便计算机能够进一步通信,传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问。比如访问百度域名,可以把访问改为202.108.22.5,从而绕开域名劫持 。

DNS劫持(DNS钓鱼攻击)十分凶猛且不容易被用户感知,曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗。黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面,其宽带路由器的DNS就会被黑客篡改,因为该WEB页面设有特别的恶意代码,所以可以成功躲过安全软件检测,导致大量用户被DNS钓鱼诈骗。
由于一些未知原因,在极少数情况下自动修复不成功,建议您手动修改。同时,为了避免再次被攻击,即使修复成功,用户也可按照360或腾讯电脑管家提示的方法修改路由器的登录用户名和密码。下面以用户常用的TP-link路由器为例来说明修改方法(其他品牌路由器与该方法类似)。

DNS劫持变种编辑
上周百度搜索上线了一个非常重要的策略,如果发现有网站被植入恶意篡改用户路由DNS的代码时,就会拦截页面,打出提示!据安全联盟的统计发现过万的网站被黑,植入了路由DNS劫持代码,这个数量非常之大。
  过去一段时间,知道创宇安全研究团队就捕获了至少5个变种。这类攻击的模式一般是:
1.攻击者黑下一批网站;
2.攻击者往这批网站里植入路由DNS劫持代码(各种变形);
3.攻击者传播或坐等目标用户访问这批网站;
4.用户访问这些网站后,浏览器就会执行“路由DNS劫持代码”;
5.用户的家庭/公司路由器如果存在漏洞就会中招;
6.用户上网流量被“假DNS服务器”劫持,并出现奇怪的广告等现象;
虽然这次攻击主要针对Tp-Link路由器,不过中招的路由不仅TP-Link!对此安全联盟推出DNS劫持专题 [1]  ,为网民及站长提供详细解决方案。


浏览器劫持

浏览器劫持是一种恶意程序,通过浏览器插件、BHO(浏览器辅助对象)、Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站。 所谓浏览器劫持是指网页浏览器(IE等)被恶意程序修改。常见现象为主页及互联网搜索页变为不知名的网站、经常莫名弹出广告网页输入正常网站地址却连接到其他网站。收藏夹内被自动添加陌生网站地址等等。


“浏览器劫持”,通俗点说就是故意误导浏览器的行进路线的一种现象,常见的浏览器劫持现象有:访问正常网站时被转向到恶意网页、当输入错误的网址时被转到劫持软件指定的网站、输入字符时浏览器速度严重减慢、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址、自
对下载或安装到计算机上的内容要格外小心
对下载或安装到计算机上的内容要格外小心
动添加网站到“受信任站点”、不经意的插件提示安装、收藏夹里自动反复添加恶意网站链接等,不少用户都深受其害。
浏览器劫持从软件方面来说,它是一种恶意程序,通过DLL插件、BHO、WinsockLSP等形式对用户的浏览器进行篡改,使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址等异常情况。
浏览器劫持从技术方面来说,它是一种常见的在线攻击类型,黑客可通过这种方式控制的计算机的浏览器,并更改网上冲浪的方式和冲浪时所显示的内容。
浏览器劫持分为多种不同的方式,从最简单的修改IE默认搜索页到最复杂的通过病毒修改系统设置并设置病毒守护进程,劫持浏览器,都有人采用。
浏览器一旦被劫持,就意味这用户无法决定自己的电脑里将被存放进什么资料,这无疑存在巨大安全隐患。而如今的互联网络环境可谓处处是“浏览器劫持”式的陷阱,单凭普通用户被动的事后修正无异于亡羊补牢;更多的需要全世界互联网使用者把好公众舆论和道德走向一关。

包括以下异常行为:
1、计算机上的主页或其他设置已被更改,包括增加了一些指向通常会避免的网站的链接。
2、无法浏览某些网页,例如反间谍软件和其他安全软件站点。
安全级别设定
安全级别设定
3、出现级联弹出窗口。屏幕上出现看似无穷无尽的连环广告弹出窗口。
4、安装了新的工具栏或收藏夹,并提供指向您不需要的网页的图标和链接。
5、减慢计算机的运行速度。恶意软件会减慢计算机的运行速度。
“浏览器劫持”的攻击手段可以通过被系统认可的“合法途径”来进行。所谓“合法途径”,即是说大部分浏览器劫持的发起者,都是通过一种被称为“BHO”(BrowserHelperObject,浏览器辅助对象)的技术手段来植入系统。
而BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准,它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”,由于BHO的交互特性,程序员还可以使用代码去控制浏览器的行为,这些操作都被系统视为“合法”,这就是“浏览器劫持”现象赖以存在的根源。


下面我们就来了解一些对付浏览器劫持的方法:
编辑hosts文件
HOSTS文件存在于Windows目录下的System32\\Drivers\\Etc目录
浏览器劫持
浏览器劫持
中。如果恶意网页将正常的域名映射到恶意网页的IP地址,则输入正常网址便会连接到恶意程序指定的网页上。
当输入正常的网址却被打开一个不知名的网站,则很有可能是因为HOSTS文件被修改了。用记事本打开这个文件,手工删除被恶意程序添加的项目并保存文件,就可以正常访问你要浏览的网站了(如果你从未使用过该文件,则直接删除所有内容后保存也可)。
本方法仅供参考,具体方法请咨询专业人士。
另外瑞星的卡卡社区里有一个专门收集恶意劫持网站的hosts文件下载,下载后覆盖原文件即可。
修改注册表项目
我们可以使用各大杀毒软件附带的注册表修复工具对注册表进行修复。
通过浏览器加载项方式及木马进行劫持
一些恶意程序作为IE加载项(Plugins)的方式启动自己,每次IE浏览器后都会自动运行恶意程序。通常恶意程序用来定时弹出广告,在IE的右键菜单中添加恶意网站链接以及动态修改注册表等。另外木马方式运行的浏览器劫持程序,目的与浏览器加载项方式类似,只是自启动方式不同。这
解决浏览器劫持
解决浏览器劫持
种木马方式的劫持程序运行更隐蔽,清除更复杂,可以自动更新程序,并且可能同时具备上面的几种劫持方式。
对于这2种浏览器劫持方式处理起来比较麻烦,这里推荐一个小软件--IE清道夫Upiea
弹出的网站
找到(复制)它的地址。然后在IE里通过:工具--Internet选项--安全,点击“请为不同区域的Web内容指定安全设置”下的“受限站点”,然后点击下面的“站点”按钮,然后在“将该网站添加到区域”中将这个网站复制进去,点击“确定”即可。(这种方法仅对没有篡改注册表的管用。既“受限站点”不是灰色的)

域名劫持 

域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的地址从而实现用户无法访问目标网站的目的。

域名劫持就是在劫持的网络范围内拦截域名解析的请求,分析请求的域名,把审查范围以外的请求放行,否则直接返回假的IP地址或者什么也不做使得请求失去响应,其效果就是对特定的网址不能访问或访问的是假网址。
域名劫持一方面可能影响用户的上网体验,用户被引到假冒的网站进而无法正常浏览网页,而用户量较大的网站域名被劫持后恶劣影响会不断扩大;另一方面用户可能被诱骗到冒牌网站进行登录等操作导致泄露隐私数据。

原理
域名解析(DNS)的基本原理是把网络地址(域名,以一个字符串的形式)对应到真实的计算机能够识别的网络地址(IP地址,比如216.239.53.99 这样的形式),以便计算机能够进一步通信,传递网址和内容等。
由于域名劫持往往只能在特定的被劫持的网络范围内进行,所以在此范围外的域名服务器(DNS)能够返回正常的IP地址,高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
如果知道该域名的真实IP地址,则可以直接用此IP代替域名后进行访问。比如访问谷歌 ,可以把访问改为http://216.239.53.99/ ,从而绕开域名劫持。


问题根源
DNS安全问题的根源在于Berkeley Internet Domain (BIND)。BIND充斥着过去5年广泛报道的各种安全问题。VeriSign公司首席安全官Ken Silva说,如果您使用基于BIND的DNS服务器,那么请按照DNS管理的最佳惯例去做。
应对措施分析
SANS首席研究官Johannes认为:“目前的DNS存在一些根本的问题,最主要的一点措施就是坚持不懈地修补DNS服务器,使它保持最新状态。”
Nominum公司首席科学家、DNS协议原作者Paul Mockapetris说,升级到BIND 9.2.5或实现DNSSec,将消除缓存投毒的风险。不过,如果没有来自BlueCat Networks、Cisco、F5 Networks、Lucent和Nortel等厂商的DNS管理设备中提供的接口,完成这类迁移非常困难和耗费时间。一些公司,如Hushmail,选择了用开放源代码TinyDNS代替BIND。替代DNS的软件选择包括来自Microsoft、PowerDNS、JH Software以及其他厂商的产品。
建议
不管您使用哪种DNS,请遵循以下最佳惯例:
1.在不同的网络上运行分离的域名服务器来取得冗余性。
2.将外部和内部域名服务器分开(物理上分开或运行BIND Views)并使用转发器(forwarders)。外部域名服务器应当接受来自几乎任何地址的查询,但是转发器则不接受。它们应当被配置为只接受来自内部地址的查询。关闭外部域名服务器上的递归功能(从根服务器开始向下定位DNS记录的过程)。这可以限制哪些DNS服务器与Internet联系。
3. 可能时,限制动态DNS更新。
4. 将区域传送仅限制在授权的设备上。
5. 利用事务签名对区域传送和区域更新进行数字签名。
6. 隐藏运行在服务器上的BIND版本。
7. 删除运行在DNS服务器上的不必要服务,如FTP、telnet和HTTP。
8. 在网络外围和DNS服务器上使用防火墙服务。将访问限制在那些DNS功能需要的端口/服务上。
让注册商承担责任.

dll劫持

《DLL劫持》技术当一个可执行文件运行时,Windows加载器将可执行模块映射到进程的地址空间中,加载器分析可执行模块的输入表,并设法找出任何需要的DLL,并将它们映射到进程的地址空间中。


原理编辑
由于输入表中只包含DLL名而没有它的路径名,因此加载程序必须在磁盘上搜索DLL文件。首先会尝试从当前程序所在的目录加载DLL,如果没找到,则在Windows系统目录中查找,最后是在环境变量中列出的各个目录下查找。利用这个特点,先伪造一个系统同名的DLL,提供同样的输出表,每个输出函数转向真正的系统DLL。程序调用系统DLL时会先调用当前目录下伪造的DLL,完成相关功能后,再跳到系统DLL同名函数里执行。这个过程用个形象的词来描述就是系统DLL被劫持(hijack)了。
利用这种方法取得控制权后,可以对主程序进行补丁。此种方法只对除kernel32.dll、ntdll.dll等核心系统库以外的DLL有效,如网络应用程序的ws2_32.dll、游戏程序中的d3d8.dll,还有大部分应用程序都调用的lpk.dll、sxs.dll,这些DLL都可被劫持。
伪造的dll制作好后,放到程序当前目录下,这样当原程序调用原函数时就调用了伪造的dll的同名函数,进入劫持DLL的代码,处理完毕后,再调用原DLL此函数。
这种补丁技术,对加壳保护的软件很有效,选择挂接的函数最好是在壳中没有被调用的,当挂接函数被执行时,相关的代码已被解压,可以直接补丁了。在有些情况下,必须用计数器统计挂接的函数的调用次数来接近OEP。此方法巧妙地绕过了壳的复杂检测,很适合加壳程序的补丁制作。
一些木马或病毒也会利用DLL劫持技术搞破坏,因此当在应用程序目录下发现系统一些DLL文件存在时,如lpk.dll,应引起注意。

如何防止
DLL劫持利用系统未知DLL的搜索路径方式,使得程序加载当前目录下的系统同名DLL。所以可以告诉系统DLL的位置,改变加载系统DLL的顺序不是当前目录,而是直接到系统目录下查找。
这个想法可以通过修改注册表实现。
在注册表键值:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs
是调用系统DLL的首要查找目录。例如里面有RE_SZ类型的"ntdll"="ntdll.dll"项,则系统载入"ntdll"时会直接从系统目录加载。
由此,添加"LPK"="LPK.DLL"即可防止LPK被劫持,同理可以阻止一些其他DLL被劫持,例如"USP10"。
在Windows NT系统,XP默认只有少数关键DLL在此键值下,Win7下面此键值已经相当齐全,在Win7系统下发生DLL劫持的概率要比XP小很多。
一 回顾DLL挟持的发展
2010年08月24日微软发布安全公告2269637,提到三方软件编程不安全存在一个DLL挟持的缺陷可以导致远程攻击
2010年08月24日流行的漏洞信息共享网站exploit-db马上就爆出多个DLL挟持漏洞涉及的软件有:Wireshark(免费嗅探器),Windows Live email(邮箱客户端), Microsoft MovieMaker(视频编辑处理),Firefox(网页浏览器), uTorrent (BT下载工具),PowerPoint 2010(办公软件)等
2010年08月25日-26日漏洞信息共享网站exploit-db继续爆出Winamp,Google Earth,Photoshop等软件存在DLL挟持漏洞,同时发布这个blog之前笔者的电脑中已经发掘存在的流行软件有,QQ影音,QQ音乐,美图秀秀,ppstream等.


点击劫持
点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。
它是通过覆盖不可见的框架误导受害者点击。
虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。
这种攻击利用了HTML中<iframe>标签的透明属性。

概述 
点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。
它是通过覆盖不可见的框架误导受害者点击。
虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。
这种攻击利用了HTML中<iframe>标签的透明属性。

特征
1、点击劫持是一种恶意攻击技术,用于跟踪网络用户,获取其私密信息或者通过让用户点击看似正常的网页来远程控制其电脑。很多浏览器和操作平台都有这样的漏洞。
2、点击劫持技术可以用嵌入代码或者文本的形式出现,在用户毫不知情的情况下完成攻击,比如点击一个表面显示是“播放”某个视频的按钮,而实际上完成的操作却是将用户的社交网站个人信息改为“公开”状态。
3、点击劫持这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的,这个词其实是“点击”(click)和“劫持”(hijacking)两个词组合而成的。





nba| 足球比分| 球探网足球即时比分| 比分直播| 足球比分网| 篮球比分 dns劫持| 劫持| 镜像劫持| 域名劫持| ie被劫持| 百度快照劫持