标签:常见问题 请求 XFF DNS IP地址 攻击者 服务器
- Linux中Apche日志文件在哪?
/var/log/apche2/access.log
- Linux如何实现权限维持?
- suid后门
- 计划任务后门
- cat命令缺陷后门
- XFF字段原理(显示真实IP地址)
X-Forwarded-For(XFF)是一个HTTP头部字段,主要用于跟踪请求从客户端到服务器的传递路径,主要在HTTP请求被代理或者负载均衡时使用。
XFF字段可以被代理服务器添加到请求中,以记录原始请求的IP地址。如果有多个代理,XFF可以包含一个或多个IP地址,列表中每个IP地址代表一个中间代理。
X-Forwarded-For: client1, proxy1, proxy2
client1:真正发起请求的客户端IP地址,proxy1、proxy2是中间经过的代理服务器地址。
- XFF注入如何利用?
攻击者通过修改XFF标头字段来伪造IP地址,使服务器误以为请求来自另一个客户端。攻击者根据该IP地址执行授权、身份验证或其他与安全相关的操作:
1、伪造请求:攻击者使用其他用户的IP地址发送请求,绕过访问控制或执行操作,导致未授权访问或数据泄露
2、资源耗尽:通过伪造大量不同的IP地址,攻击者可以使服务器超负荷,导致服务器不可用。
3、用户追踪:在用户会话之间伪造不同的IP地址,泄露隐私。
- DNS劫持
1、本地DNS劫持攻击:通过用户植入恶意的软件然后修改本地的DNS设置,通过这样的手段让用户访问被重定向,让正常访问变成访问到恶意网站
2、路由器DNS劫持攻击:路由器是固定设置,攻击者通过漏洞来攻击所有链接的用户;也可以通过密码来接管路由器
3、流氓DNS服务器:攻击会通过控制的DNS服务器,将DNS重定向到恶意站点,用户使用或被篡改成DNS服务器时,就会访问到恶意站点。
- DNS外带劫持
攻击者将数据嵌入到DNS查询中,将嵌入数据的DNS查询发送到一个能够捕获查询的服务器平台,服务器捕获查询后,解析查询获取嵌入的数据,从而实现数据传输或执行远程命令。
- CS流量特征
1、心跳包特征:间隔一定时间,均有通信,且流级上的上下行数据长度固定
2、域名/IP特征:
1.不走CDN、域前置的、域名及IP暴露
2.走CDN、域前置的,真实IP会被隐藏
3、指令特诊:
1、下发指令时,通过心跳包接受指令,server端返回的数据包更长,甚至包含要加载的DII模块数据。
2、指令执行完,client端通过POST请求发送执行的结果数据,body部分通过加密和base64编码
3、不同指令,执行的时间间隔不一样,可以通过POST请求和GET请求的间隔时间进行判断。
4、数据特征:在请求的返回包中,通信数据均隐藏在jqeury*.js中。
标签:常见问题,
请求,
XFF,
DNS,
IP地址,
攻击者,
服务器
From: https://www.cnblogs.com/ysjh/p/18588986