互联网内容插入广告的可行性分析——以hm.baidu.com被劫持篡改插入代码

admin管理员组

文章数量:1531984

2024年1月7日发(作者：)

ELECTRONICS WORLD・探索与观察互联网安全日益重要，在访问互联网部分内容时，时常有广告弹出，严重影响了用户的使用感知；同时对现网也存在巨大的安全隐患，这个尤为重要。本文从运营商角度就广告的插入从实际案例入手，进行分析说明，通过Cache和分光等不同厂家的配合，利用对设备的简单配置，提取分析数据，来具体定位广告是从何插入；同时将其原理和现象以及排查的过程和如何定位做出说明。最后说明如何避免此种形式的篡改插入。下面我们通过实际案例来说明广告插入的形式，广告插入形式多种多样，方法也是多种多样，该案例虽然是其中一种，但是这种形式比较普遍并且较有代表性。我们将分；故障现象，分析原因，原理介绍，定位排查，数据提取，追查原因，总结建议；七部分来阐述这个问题。1 故障现象使用手机连接宽带网络WIFI环境下，访问某些业务时，会有广告弹出。访问的有页面，或者app应用，均有该现象产生。具体现象为，在屏幕最下方显示一条推送的广告，该广告可以手动进行关闭（图1，访问爱奇艺手机页面，下方有广告弹出）。关闭后，退出本次访问的应用（网页或app）重新进入后，无广告现象，说明广告的弹出同时具有时效型。经过反复复测发现，同一地址访问的同一内容，广告弹出的大概间隔时间在20分钟以上。2 分析原因针对该现象，使用wiresahrk进行故障现象抓包，通过对抓包分析，发现广告的弹出为域名被劫持，并篡改了其返回用户请求的代码。域名是百度提供的一项网站统计功能的服务。如果站点使用了该项服务，且没有升级为https加密方式的话，便存在巨大的安全隐患，即插入不安全代码。域名被劫持并篡改了站点对用户请求响应的代码，返回给用户的是插入了其他代码的图1

响应体。图2，在弹出广告的时候，域名请求被拦截，并篡改了源站响应返回给了用户。蓝色部分是被篡改的返回代码。图2

同样我们抓取了正确的网站返回的请求体，其域名正确的返回如下，图3所示，蓝色部分明显未出现植入的非法代码。3 原理介绍非法劫持原理，从运营商角度来看主要是非法分光劫持，是指在运营商的内容网络中利用了正常的分光或其他形式，非法获取了用户请求，模仿源站进行伪造应答，应答包里嵌套恶意代码，对网互联网内容插入广告的可行性分析——以被劫持篡改插入代码为例中移铁通河北分公司 吴 刚络存在极大的安全隐患，同时导致用户对源站进行二次页面访问，正常业务均来自源站，在不影响用户感知的情况下从中获取利益。原理图4，该案例具体情况图5所示。图3图4 原理图图5 该案例实际劫持流量径路图4 定位排查经过抓包和分光的排查，定位为一厂家的设备组，拦截了域名，并做出了相应回包。测试过程如下。1)关闭分给该厂家的get请求分光，图6，关闭时间0:33分。

图62)等待大于20分钟以上的时间进行测试，相同手机不同wifi，不同手机不同wifi，分别测试，选取和有广告现象一直的爱奇艺进行访问。均无广告弹出。时间是01:06和01:07分。说明在0:33分关闭给厂家get请求后，经过30多分钟仍然没有出现广告，说明已经•

45

•

ELECTRONICS WORLD・探索与观察无广告弹出（图7）。图73)测试后立即打开分给厂家的get请求分光（图8），时间1:09分。图84)打开后立即进行测试并记录，测试相同手机不同wifi；不同手机不同wifi，分别测试。均有广告弹出。时间均是01:10分，说明打开分给该厂家分光后广告立即出现，可定位为此厂家存在问题（图9）。图95 数据提取配置策略抓取篡改记录，以提取数据作为该厂家插入广告的数据支撑。在省核心设备和该厂家设备的接口入方向上配置策略，用以记录伪造源站数据包的返回用户请求的流量；位置点图10。图 10流策略配置如下：acl number 3099 rule 5 permit ip source ***.***.***.*** 0•

46

•创建3099acl 源地址是百度异常域名的IPtraffic classifier cachecache operator or if-match acl 3099创建类，匹配acl3099traffic behavior cachecache创建动作，traffic policy cachecache share-mode statistics enable classifier cachecache behavior cachecache precedence 1将类和动作绑定，并使能统计。interface Eth-Trunk3 description [设备描述]Eth-Trunk3-[设备描述]Eth-Trunk1 ip address 接口地址 255.255.255.252 ip netstream inbound ip netstream monitor xflow inbound traffic-policy cachecache inbound

在接口下应用流策略，方向是inbound，监测从厂家网络设备发出的域名IP的报文配置完毕，并进行测试，统计结果如下，以下是开始统计Eth-Trunk 3 in方向监测到的报文。

计算两次统计差值584+786-430-466=294,统计到数据报文近300个，5/s。阶段性总结，结合抓取的数据和以上的分析判断，说明该厂家在截取用户get请求后，伪造源站返回给用户。同时将返回的报文代码篡改，植入了广告，造成用户在访问应用的时候，屏幕弹出广告。6 追查原因经厂家查询，原因为其服务设备的管理服务器中的某一进程受到攻击，被恶意插入脚本所致。后经研发团队对服务器进行了补丁修复，劫持篡改现象消失。7 总结建议通过对该问题的处理研究，提升了对广告插入分析排查的手段，同时通过配置策略验证了插入源头，提取了有效数据。在以后的运维工作中，需要采取相应手段进行布控，及时发现问题处理问题，缩小问题波及范围，减少问题处理时间，提升用户应用感知。具体方法为：1.通过借鉴其他领域的经验，可在相关服务器端布置监控代码，可对容易插入广告的连接和域名进行有效的实时监控，并通过邮件或短信形式，实时发现异常，及时处理。2.针对有可能存在隐患的服务域名，建议服务提供商尽量采取https协议，建议使用者使用加密后的协议，以确保域名访问的安全性，同时也提高域名的可用性。注释：因为经测试在访问弹出广告后，如果短时间内再次访问相同内容的话无广告弹出；不同wifi，代表出网的公网ip不同。作者简介：吴刚（1980—），男，汉族，河北石家庄人，本科，工程师，现工作于中移铁通河北分公司，研究方向：互联网内容实际应用。

本文标签： 广告插入厂家