路由器遭遇網路劫持，SSL證書為最佳解決方案

近日，30億條公民信息泄露事件鬧得沸沸揚揚。與此同時，360互聯網安全中心也發現另一起網路劫持的案例，有網友稱自己無論是用手機還是電腦上網，常常會出現一些廣告或者莫名的跳轉到其他的網站等網路劫持的現象，安全軟體檢測並未顯示有任何的病毒。後來經過技術分析，導致這種現象是因為路由器的問題。

360互聯網安全中心分析發現，用戶使用的幾款國內知名路由器存在數據包篡改劫持的問題，且劫持情況分布廣泛，多個大網站均出現問題，行業類型包括電子商務網站、網址導航、搜索引擎等；還有一些網站被插入無關頁面以及遊戲廣告，嚴重的話，會直接跳轉到釣魚或欺詐廣告的網站中，對網路用戶造成直接的經濟損失。

網路攻擊過程 360互聯網安全中心對存在問題的其中一台路由器進行技術分析，發現路由器的固件存在網路數據包修改功能，固件中提取的劫持相關文件和請求302跳轉劫持內容完全重合。相關的技術人員通過進一步分析，梳理了路由器被劫持的邏輯，如下：

而另外的路由器也存在類似問題，瀏覽器訪問頁面中被插入js代碼。其劫持邏輯如下：

t.js混淆+RC4加密代碼片斷：並且不斷更新變換加密及混淆方式以對抗分析：

t.js混淆+RC4加密代碼片斷

反混淆處理後代碼如下圖所示：JS中對phicomm.com、最後，weibo.com、.gov.cn、.qq.com、.sina.com、.163.com、.weibo.com、.cctv.com、.baidu.com等幾個大站點做了白名單處理，打開這些網站不會被插入廣告，這些站點以外的網站則會根據移動端和PC端插入不同的廣告JS，其中移動端會有小圖標廣告或移動網盟的廣告。

反混淆t.js內容及對應部分廣告展示

Lypc.js反混淆後部分片斷可看到其中插入廣告的頁面：

因為路由器存在網路劫持，導致接入路由器的移動端和PC訪問各大伺服器容易出現各種的廣告，以及頁面跳轉現象。

解決方案：HTTPS加密協議 作為國內信息安全服務商數安時代GDCA認為此類的網路劫持並不是不可以避免，目前最常見、最有效的方法就是通過SSL證書升級到HTTPS加密協議。

HTTPS加密協議是目前最安全的網路傳輸協議，是在HTTP明文協議的基礎上添加了SSL證書。SSL證書是遵守TLS/SSL協議，由受信任的數字證書頒發機構(CA機構），通過第三方驗證伺服器身份後頒發的數字證書。SSL證書具有伺服器身份驗證和數據傳輸加密功能，可防止網路傳輸信息被他人盜竊、篡改等網路攻擊；以及能有效避免網路劫持行為；通過SSL證書可有效辨別伺服器身份，識別釣魚網站。

因此數安時代GDCA建議網路終端用戶在日常訪問網站時，可嘗試主動切換到HTTPS加密協議訪問（據Google Chrome最新統計，目前有70%以上的站點已經支持HTTPS訪問），這塊就可以避免通訊過程被篡改。而各大站長應向受信任的CA機構申請SSL證書，將全站升級到HTTPS，防止此類劫持、篡改問題。

文章材料參考360互聯網安全中心

文章轉載https://www.trustauth.cn/news/security-news/26268.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！