大规模网页绑架转址之水落石出篇

在专家一连串分析之后，已经有一些初步的结果，请大家自行参考下方连结。

http://armorize-cht.blogspot.com/2009/03/blog-post_12.html

资讯安全要靠各位 IT 大大共尽一份心力，让使用者有个安心的网路。 @@/
2009/3/12

大规模网页绑架转址之水落石出篇

http://armorize-cht.blogspot.com/2009/03/blog-post_12.html

山高月小，水落石出、清风徐来，水波不兴！

最近的大规模转址事件，由于影响範围广大，引起了各方的讨论，o0o.nu的fyodor yarochkin（联络方式：fygrave 鼠 o0o 点 nu）与阿码科技的Wayne，之前针对此事键做了一些研究，并在前一篇post「大规模网页绑架转址：威胁未解除，但专家都猜错了」中，依据我们录到的封包，详述了我们对事件的看法。我们不觉得此事与DNS有关係，也没有证据显示此次与zxarps工具的ARP挂马手法有关。从我们录到的封包来看，这是典型的，从90年代一直用到现在的IP spoofing。

这两天，经过一些研究与测试，我们可以在route上準确的指出攻击程式的所在位子，昨天也已经充分通知相关单位，今天在这里把结果与各位分享，另外也谢谢Peter Yen与其他朋友提供的宝贵资讯。

最近攻击有转缓的趋势，大部分大型网站的流量已经不再被转址，但是我们这几天观察下来，一直到昨天（今天尚未测试），攻击程式都还存在，只是不再针对大型网站spoofing，而针对某些特定网站做spoofing，并且不断更改行为，故我们认为对方正在做许多测试与校调，试图尽量让spoofed封包看起来与正常流量类似，以便下次发动攻击。我们的测试方法是利用一个小程式发送TCP封包，封包里是HTTP GET request，而再透过TTL的设计，就可以知道当封包经过哪一个节点时，有spoofed IP packet发送回来。当然我们这种测试方法是可以被侦测到的，所以现在公开之后，预计也将增加往后类似测试的困难度。

详细内容：请点击下方连结。
http://armorize-cht.blogspot.com/2009/03/blog-post_12.html