流量劫持这种事 不靠求运营商就能用技术解决问题吗?

标签: 流量劫持 | 发表时间:2015-12-25 22:13 | 作者:Chaos
出处:http://tech2ipo.com

有时候你在用手机浏览网页甚至打开 App 的时候(比如打开微信公众号文章或者打开手机淘宝),有时候会出现一个广告弹窗,甚至有时候是运营商自己的流量提醒,这个广告有时候和 App 的内容和类型完全不符,不了解情况的用户很可能会怪罪 App 乱弹广告,也许你真的是怪错人了,你的流量可能被某些机构劫持了。

今天,今日头条、美团 - 大众点评网、360、腾讯、微博、小米科技六家公司发表联合声明,共同呼吁有关运营商严格打击流量劫持问题,重视互联网被流量劫持可能导致的严重后果。

联合声明指出,在当前的移动互联网环境下,流量劫持主要分为两种方式: 域名劫持和数据劫持 ,放任流量劫持会导致扰乱市场秩序、损害用户利益以及传播诈骗、色情等低俗甚至严重违法信息的恶果。

对于流量劫持这种事情已经成为业界非常普遍但是又无可奈何的一件事情,主要在于不敢得罪运营商,现在终于到了几家大型互联网公司联合起来「声明」的地步, 那么对于这种流氓手法真的没有办法 吗?为了我们咨询了 阿里云网络方面的资深工程师亭林。

相对于 PC 端的网络环境,移动端的网络环境更为复杂,2G、3G、4G、Wi-Fi 各有不同,而复杂的网络环境也增加了流量劫持的可能性和复杂程度。

流量劫持的方式主要分为两种,域名劫持和数据劫持。

域名劫持是针对传统 DNS 解析的常见劫持方式。 用户在浏览器输入网址,即发出一个 HTTP 请求,首先需要进行域名解析,得到业务服务器的 IP 地址。使用传统 DNS 解析时,会通过当地网络运营商提供的 Local DNS 解析得到结果。 域名劫持,即是在请求 Local DNS 解析域名时出现问题,目标域名被恶意地解析到其他 IP 地址,造成用户无法正常使用服务。

解决域名劫持的一个办法就是绕开 Local DNS,通过一个可信的源头来解析域名,解析方式不需要拘泥于 DNS 协议,也可以通过 HTTP 的方式。 亭林介绍道两年前,手机淘宝等 APP 也曾遇到这一问题,随后在做底层网络优化时, 通过使用自己定制的 HTTPDNS,一个安全可信的域名解析方案,解决了域名劫持问题,现在 & nbsp;HTTPDNS 技术也准备通过阿里云开放给广大开发者使用,当前这款产品正在内测中,预期将在明年初上线。

数据劫持基本针对明文传输的内容发生。 用户发起 HTTP 请求,服务器返回页面内容时,经过中间网络,页面内容被篡改或加塞内容, 强行插入弹窗或者广告。

行业内解决的办法即是对内容进行 HTTPS 加密 ,实现密文传输,彻底避免劫持问题。

MD5 校验同样能起到防止数据劫持的作用 ,MD5 校验是指内容返回前,应用层对返回的数据进行校验,生成校验值;同时,内容接收方接收到内容后,也对内容进行校验,同样生成校验值,将这两个校验值进行比对,倘若一致,则可以判断数据无劫持。 但相比 HTTPS 加密,MD5 校验存在一定风险,劫持方技术能力强则有可能在篡改内容后替换校验值,导致接收方判断错误。

HTTPS 一开始是以加密通信为需求而诞生的,第一批用户也是银行等金融机构。但随着互联网上个人数据传输变得更加普遍,HTTPS 早已经成为了互联网行业的大势所趋。 今年双 11,阿里的淘宝、天猫、聚划算等电商平台就做到了全站的 HTTPS 加密访问,当然这也是开放的。

* 题图来自日本动画片《Pokemon》

相关 [流量 劫持 技术] 推荐:

漫谈流量劫持

- - WooYun知识库
在鼠标点击的一刹那,流量在用户系统中流过层层节点,在路由的指引下奔向远程服务器. 这段路程中短兵相接的战斗往往是最激烈的,在所有流量可能路过的节点往往都埋伏着劫持者,流量劫持的手段也层出不穷,从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入、浏览器插件劫持、http代理过滤、内核数据包劫持、bootkit等等不断花样翻新.

流量劫持这种事 不靠求运营商就能用技术解决问题吗?

- - TECH2IPO
有时候你在用手机浏览网页甚至打开 App 的时候(比如打开微信公众号文章或者打开手机淘宝),有时候会出现一个广告弹窗,甚至有时候是运营商自己的流量提醒,这个广告有时候和 App 的内容和类型完全不符,不了解情况的用户很可能会怪罪 App 乱弹广告,也许你真的是怪错人了,你的流量可能被某些机构劫持了.

流量劫持是如何产生的?

- - FEX 百度 Web 前端研发部
流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬. 众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道. 只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改. 攻击还是那几种攻击,报道仍是那千篇一律的砖家提醒,以至于大家都麻木了. 早已见惯运营商的各种劫持,频繁的广告弹窗,大家也无可奈何.

WiFi流量劫持—— 截获支付宝账号 - EtherDream

- - 博客园_EtherDream の 原创空间
  前两篇讲述了长缓存投毒的原理和实现. 用户只要在我们的wifi下随便看个网页,就能植入一堆超长潜伏期的后门脚本.   究其原因,还是因为登陆页面的安全性不够. 明文传输的网页,总是能轻而易举的注入脚本代码,因此存在风险也就不足为奇.   所以在必要的场合使用HTTPS加密传输,就能完全避免这类安全隐患.

WiFi流量劫持—— JS脚本缓存投毒 - EtherDream

- - 博客园_EtherDream の 原创空间
  在上一篇《 WiFi流量劫持—— 浏览任意页面即可中毒》构思了一个时光机原型,让我们的脚本通过HTTP缓存机制,在未来的某个时刻被执行,因此我们可以实现超大范围的入侵了.   基于此原理,我们用NodeJS来实现一个简单的样例. 得益于node强大的IO管理,以及各种封装好的网络模块,我们可以很容易实现这个想法:.

浅谈网站流量劫持防范措施

- - 博客园_EtherDream の 原创空间
  前几天上网打开163首页时,发现页面底部莫名其妙的出现一个边框. 这在以前可是未曾有过的,而且以后也绝不可能会有这么丑陋的设计.   趋于好奇心,立刻在边框上点了右键审查元素. 尼玛,不看不知道,网易首页的HTML何时变得这么劣质了.   没有doctype声明,连title元素都没有. script还是language=JScript风格,这得追溯到多少个世纪前了~ 最劣质的是框架居然还是元素.

渗透测试:内网DNS投毒技术劫持会话

- - FreeBuf.COM
‍本文仅供渗透测试技术学习及教学用途,禁止非法使用‍. 最近一段时间一直在研究内网中嗅探的一些方法,各种方式的尝试,才找到一个比较靠谱的一种方式. 单一的ARP掉线也在10分钟内. 攻击机:Kali 10.10.10.237. 被攻击机: win7 10.10.10.232. 因为只为了测试,只修改了PC1的DNS.

防治运营商HTTP劫持的终极技术手段

- - 月光博客
  运营商HTTP劫持(非DNS劫持)推送广告的情况相信大家并不陌生,解决的方法大多也是 投诉增值业务部门进而 投诉工信部. 但这种方法费时费力,投诉接听人员并不了解情况导致答非所问的情况有很多,有时候不但受气最终也 没能完全解决问题,或者解决问题后 过了一段时间复发的情况并不少见.   近年来,运营商HTTP劫持非但没有收敛,反而变本加厉,玩出了新花样:比如 通过HTTP劫持进行密码截获的活动;比如 下载软件被替换的情况;比如 劫持进行返利(当然返利不是返给你)的情况.

微評六家互联网公司抵制流量劫持的联合声明

- - 付亮的竞争情报应用
1、六家公司呼吁有关运营商严格打击流量劫持问题. 分为域名劫持和数据劫持两类,但未说明流量劫持可能实施人,劫持人可能有两类,一是运营商及其授权机构,二是第三方公司. 2、劫持行为侵犯了用户和服务商的利益,声明标题中也用了“违法”字样,可能更有效的渠道不是发布公开声明,而是到主管部门投诉. 3、主管部门是原工信部还是已经划到了国网办,我不知道.

电信运营商广告劫持都用过哪些手段?网站运营者和用户各有什么有效的反劫持技术?

- - 知乎每日精选
从用户在浏览器输入网址(点下书签)开始: 系统在联网的时候被分配到一个 DNS 服务器地址 / 用户手工设置了一个 DNS 地址(如 8.8.8.8). 浏览器向系统配置的 DNS 查询「这个网址对应的 IP 是多少」. 1 中的 DNS 服务器返回「服务器地址是 x.x.x.x」或者「NXDOMAIN:没这个 X 域名」.