网络攻防学习笔记 Day76

流量劫持在网络安全事件中比较常见，它是一种通过在应用系统中植入恶意代码、在网络中部署恶意设备、使用恶意软件等手段，控制客户端与服务端之间的流量通信、篡改流量数据或改变流量走向，造成非预期行为的网络攻击技术。

流量劫持的主要的目的如下：（1）引流推广；（2）钓鱼攻击；（3）访问限制；（4）侦听窃密。

DNS 劫持又称域名劫持，是指控制 DNS 查询解析的记录，在劫持的网络中拦截 DNS 请求，分析匹配请求域名，返回虚假 IP 信息或不做任何操作使请求无效。目的是将用户引导至非预期目标，或禁止用户访问。

CDN（Content Delivery Network）服务指内容分发网络服务。CDN 服务单纯存储/缓存来自源服务器的静态文件，包括 HTML 页面、JavaScript 文件、样式表、图片和视频。CDN 服务分布在不同的地理位置，以便就近为互联网访问者快速提供服务，无须反复与源服务器交互。分布于各地的 CDN 服务器称为边缘节点，可共享缓存文件的副本。

要执行此类针对 CDN 的缓存污染攻击，异常 HTTP 请求通常是以下三种类型。

（1）HTTP 头部过大（HHO）：包含过大头部的 HTTP 请求，适用于 Web 应用所用缓存接收的头部大小超过源服务器头部大小限制的攻击场景。

（2）HTTP 元字符（HMC）：与发送过大头部不同，此攻击试图用包含有害元字符的请求头绕过缓存。（3）HTTP 方法重写（HMO）：用 HTTP 重写头绕过阻止 DELETE 请求的安全策略。

TTL 的主要作用是避免数据包在网络中无限循环和收发，以节省网络资源，并能使源发送者收到告警消息。TTL 字段值最大为 255。

一般，在 Linux 系统中，TTL 默认值为 64 或 255；

在 WindowsNT、Windows 2000、Windows XP 系统中，TTL 默认值为 128；

在 Windows 7 系统中，TTL 默认值为 64；在 Windows 98 系统中，TTL 默认值为 32；

在 UNIX 系统中，TTL 默认值为 255。我们可以通过 TTL 值来判断目标主机系统。