什麼是流量劫持
流量劫持,是利用各種惡意軟件修改瀏覽器、鎖定主頁或不停彈出新窗口,強制用戶訪問某些網站,從而造成用戶流量損失的情形。
流量劫持是一種古老的攻擊方式,比如早已見慣的廣告彈窗(如下圖)等,很多人已經對此麻木,並認爲流量劫持不會造成什麼損失。
而事實上,流量劫持可以通過多種你無法覺察的方式竊取信息!
流量劫持是一個非常龐大的產業鏈,所以十分普遍,目前百度、谷歌等均已全站HTTPS 。
流量劫持能做什麼?
- 重定向下載鏈接,參考之前“UC 事件”,下載 A 軟件,實際得到的是 B 軟件,當然隱祕一點的可以給你換成帶推廣的 A 軟件。
-
網頁內插入廣告,目前已經可以實現按時段,按用戶,按次數展示,十分隱蔽。
-
重定向推廣。比如訪問商品時候,會302 重定向加入推廣鏈接,等待用戶支付後,以收取平臺佣金,而用戶端是無感知的。
-
劫持網頁,直接跳轉到 xx賭場 等等。 (之前有企業因爲流量劫持到不正規網站而被誤認爲從事非法項目,直接封殺公衆號,無法解封)
HTTPS 如何預防流量劫持
參考之前文章,由於 HTTPS 足夠安全,且無法僞造,因此一般劫持者不會選擇運營商下手。
-
DNS 劫持: 實際上 HTTPS 並不能預防 DNS 劫持,但是由於用戶訪問頁面會空白或者顯示網頁 HTTPS 不正常,此時會找運營商投訴,因此一般運營商對 DNS 劫持比較慎重,HTTPS 反而是安全的。
-
HTTP 劫持:事實上,劫持者一般會直接放行 HTTPS 流量,劫持 HTTPS 網頁並不能讓用戶端顯示正常的網頁內容。
-
預置證書: 像一些公司,網吧會強制預置根證書,配合網關達到 HTTPS 劫持的目的。(此方式只能通過 解析 CAA 記錄解決劫持,但網頁顯示空白)
流量劫持有多廣泛
大到運營商,路由器廠商,甚至瀏覽器,殺毒軟件... 都有存在流量劫持的行爲,HTTPS 是網頁唯一的救命稻草。
如何部署 HTTPS ?
請從 https-start 獲取各大 HTTP 服務器的配置文件和部署說明。