以色列海法理工学院和国防承包商Rafael的研究人员在预印本网站arxiv发表论文(PDF),指出中国的核心网络运营商中国电信和中国联通会利用带外注入的方法注入虚假内容。注入广告等内容的行为一般发生在边缘ISP——即直接向用户提供网络接入服务的ISP,但研究人员利用netsniff-ng工 具捕捉和分析1.5PB数据之后发现,核心网络运营商也会这么做。伪造的非用户请求内容是通过带外的方式注入到流量中,类似国家级审查系统,但不是为了政 治目的而是出于商业目的。虚假内容的注入持续时间通常只有2到3天,研究人员承认可能难以重现。所谓的带外注入是指网络运营商被动监视了所有流量,在需要 改变数据包的内容时,伪造的数据包会伪装成有效的数据包注入到服务器和客户端之间的连接,抢在有效数据包之前传输到客户端,这时候客户端会接受伪造的包而 抛弃有效的数据包。这种攻击方法只适用于非加密内容,使用HTTPS可以防止此类攻击。在研究中,研究人员观察到的注入虚假内容现象主要发生在中国,发生 在两个最大的亚洲基础网络运营商(电信和联通)的自治系统内,注入的内容除了广告还涉及到恶意程序。注入的广告域名包括了阿里巴巴的 is.alicdn.com,jiathis.com等;指向域名wa.kuwo.cn的JS脚本注入被认为是恶意的;重定向链接使用了网址 www.baidu.com/?tn=95112007_hao_pg,推荐标签是hao123.com——一个众所周知的广告软件关联网站。
Sunday, 28 February 2016
研究发现中国电信和联通会向网络注入虚假内容
以色列海法理工学院和国防承包商Rafael的研究人员在预印本网站arxiv发表论文(PDF),指出中国的核心网络运营商中国电信和中国联通会利用带外注入的方法注入虚假内容。注入广告等内容的行为一般发生在边缘ISP——即直接向用户提供网络接入服务的ISP,但研究人员利用netsniff-ng工 具捕捉和分析1.5PB数据之后发现,核心网络运营商也会这么做。伪造的非用户请求内容是通过带外的方式注入到流量中,类似国家级审查系统,但不是为了政 治目的而是出于商业目的。虚假内容的注入持续时间通常只有2到3天,研究人员承认可能难以重现。所谓的带外注入是指网络运营商被动监视了所有流量,在需要 改变数据包的内容时,伪造的数据包会伪装成有效的数据包注入到服务器和客户端之间的连接,抢在有效数据包之前传输到客户端,这时候客户端会接受伪造的包而 抛弃有效的数据包。这种攻击方法只适用于非加密内容,使用HTTPS可以防止此类攻击。在研究中,研究人员观察到的注入虚假内容现象主要发生在中国,发生 在两个最大的亚洲基础网络运营商(电信和联通)的自治系统内,注入的内容除了广告还涉及到恶意程序。注入的广告域名包括了阿里巴巴的 is.alicdn.com,jiathis.com等;指向域名wa.kuwo.cn的JS脚本注入被认为是恶意的;重定向链接使用了网址 www.baidu.com/?tn=95112007_hao_pg,推荐标签是hao123.com——一个众所周知的广告软件关联网站。
