网络攻防学习笔记 Day77

TCP 协议报文的序号只是保证数据包按序被接收，并不提供任何的校验。协议栈的 TCP 实现维护一个按序队列和乱序队列，失序到达的数据会排入乱序队列，这时的数据包是不会再交由应用层处理的，而 TCP 会定义两种空洞，即丢包空洞与乱序空洞。

ARP 劫持发生在局域网内，分为两种：一种是双向欺骗，另一种是单向欺骗。

DNS 劫持的攻击目标为提供 DNS 解析的设备或文件。因此，常见的 DNS 劫持攻击手法分为：本地 DNS 劫持、路由器 DNS 劫持、中间人 DNS 攻击、恶意 DNS 服务器攻击。

【nslookup】命令用于查询 Internet 域名服务器的程序。【nslookup】命令有两种模式：交互和非交互。

【dig】命令用于查询域名信息。查询单个域名信息可使用【digdomain】命令。

【traceroute】命令用于路由跟踪。对指定域名进行路由跟踪可使用命令【traceroute [-option] domain】

Cain 工具用于 Windows 系统，可破解各类密码，嗅探各种数据信息，实现中间人攻击。NetFuke 工具是一个 ARP 劫持工具。Ettercap 是一个中间人攻击套件工具，用于流量嗅探。

首先需要确定是否遭遇流量劫持。当出现以下情况时，表示很可能遭遇流量劫持。

（1）网页带有广告或其他引流特性信息。

（2）浏览器经常接收到不同服务器返回的 3××的重定向类 HTTP 状态码，并跳转至恶意页面。

（3）之前能正常访问的网站突然无法访问，或者访问出错。切换 IP 或 DNS 设置后可以正常访问。

（4）网络中存在大量异常流量，如大量 ARP 响应报文、缺失的 TCP 报文等。

（5）无法正常上网。

可通过以下方法判断当前流量劫持的类型。

（1）DNS 劫持：当切换运营商网络或 DNS 设置后，访问恢复正常。

（2）HTTP 劫持：使用浏览器 F12 功能监听网络流量与脚本文件，观察响应是否发生在源服务器的本地资源。

（3）链路层劫持：TCP 劫持一般发生在互联网访问时，出现广告引流现象，当切换运营商网络或物理位置后，恢复正常；ARP 劫持一般发生在局域网内，可以使用抓包工具，发现大量异常的 ARP 请求。