本文探讨了互联网流量劫持的两种主要形式:DNS劫持和链路劫持,以及运营商实施劫持的原因。DNS劫持常用于广告跳转和本地缓存,而链路劫持更难以检测,可能导致页面篡改。针对这些问题,提出了被动监测型和主动防御型解决方案,如DNS防劫持、HTTPS等。最后,文章指出选择解决方案要考虑成本、安全性和适用场景,强调了性能监控的重要性。
前段时间因为公司的一款手机APP产品经常遭到流量劫持,严重影响用户体验,因此对互联网流量劫持的原因以及可行方案进行了一些研究和测试,趁着清明三天小长假躺床上养病,梳理一下。全文都是po主根据之前一段时间的研究结合自己的理解一个一个字敲出来的,参考的一些文章,最后也列出,可以直接链接进去。由于po主水平有限,文章肯定有很多错误,希望大家不吝赐教。
一、劫持的方式分析
互联网的流量劫持大致分两种,第一种是DNS劫持,第二种是链路劫持。对于这两种劫持的原因有很多,比如用户电脑中毒了,DNS被篡改了,比如家用路由器被攻破了等等。但这种个人极端原因毕竟是少数,真正的幕后大佬(此处应该有广东话配音)其实是运X商(此处配有BB音),这其实已经是互联网行业公开的秘密,各大互联网公司早已经和各大运营商展开了一场旷日持久的撕胯大战,po主公司由于是金融行业,刚涉足互联网不久,还处于摸石头过河阶段,却也是感受到了我国互联网环境的水深。对此po主只有一句话,大家都是要被颠覆的行业,难兄难弟何必相爱相杀呢? 好了,废话不多说了,这是一个严肃的技术文档!!!
1、DNS劫持
首先我们要搞明白运营商为什么要劫持用户DNS呢? 用户跟你什么仇什么怨?
劫持原因基本分两类,第一类是为了跳转广告,第二类是本地缓存,总结一下就是为了——钱!
跳转广告比较好理解,我明明访问的是淘宝,怎么跳转成了一个不知名小网购网站,还和淘宝长的挺像。本来po是要以身试法,截个被劫持的图下来展示下的,结果访问各大网站1个小时,也没有一次被劫持,真心为电信点赞! 跳转广告这种方式由于过于芳草天,用户也不是傻子,运营商用起来也是比较谨慎,所以第二类本地缓存才是罪恶之源。
由于各运营商带宽资源、网间结算费用、IDC机房资源分布等存在较大差异,因此为了保证网内用户的访问质量,同时减少跨网结算,运营商在网内搭建了内容缓存服务器,通过把域名强行指向内容缓存服务器的IP地址,就实现了把本地本网流量完全留在了本地的目的。但是由于运营商对这些内容缓存服务器的使用的技术手段参差不齐,运维管理也不是很及时。通常会引起两个问题,一是当这些运营商的内容缓存服务器出现故障后,用户将无法访问到需要的资源,二是当源站已经有内容更新了,而这些运营商的内容缓存服务器并未及时更新,导致用户访问到旧资源,或者无法访问到资源。
其实运营商的DNS劫持的原理很简单,就是当用户向local DNS去请求某个域名的真实ip时,运营商的local DNS服务器回复了一个假网站或内容缓存服务器的ip,最终导致用户访问出现异常。当然一些劫持行为一旦被发现,运营商一般都会声称DNS服务器被黑,当然也可能声称临时工干的。DNS劫持由于其实现简单,无论是出于有意或无意的,目前被广泛的应用在互联网环境中。根据腾讯内部的统计,腾讯全国每日的DNS解析异常量达到80万条,并且这还只是一个抽样监测的结果。这对于企业的影响是非常恶劣,尤其在移动互联网时代,用户体验就是核心竞争力,因此DNS劫持的攻防之战也是一个互联网公司必须重视的课题。
2、链路劫持
比起DNS劫持的简单粗暴,链路劫持的技术含量更高,也更难被发现。最常见的就是页面蒙层,页面广告,页面替换等(这里的页面替换不同于DNS劫持,即使更换了local DNS依然会被劫持,所以更难察觉)。当然链路劫持还常常被黑客利用进行钓鱼或DDOS攻击等(近期比较有名的就是某邪恶组织利用百度联盟广告被恶意植入JS去DDOS攻击GitHub)。我们这里就不多谈个别极端情况,具体的黑客行为可以参考这篇文章
最低0.47元/天 解锁文章
扫一扫
652
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
