流量劫持与防范

2015年12月15日，今日头条、美团大众点评网、360、腾讯、微博、小米科技六家公司发表联合声明，共同呼吁有关运营商严格打击流量劫持问题，重视互联网被流量劫持可能导致的严重后果。

 

联合声明指出，在当前的移动互联网环境下，流量劫持主要分为两种方式：域名劫持和数据劫持，放任流量劫持会导致扰乱市场秩序、损害用户利益以及传播诈骗、色情等低俗甚至严重违法信息的恶果。

 

而在2015年11月，上海浦东法院也刚刚对中国大陆地区首例流量劫持刑案作出判决，两名被告人被判有期徒刑三年，缓刑三年，扣押在案的作案工具以及没收退缴在案的违法所得。

 

在此前的很长时间内，流量劫持行为并没有被定义为刑事犯罪，而随着浦东法院的判决、六大互联网公司联合声明的发出，流量劫持正在得到更大范围的关注。如何防范流量劫持正成为各家互联网公司的探讨重点。

 

就此，记者联系了阿里云资深开发工程师亭林，请他介绍了流量劫持的技术原理以及相应的防范措施，精简分享如下。

 

--------------------------------------------------------------------------------------------------------------------

 

相对于PC端的网络环境，移动端的网络环境更为复杂，2G、3G、4G、Wi-Fi各有不同，而复杂的网络环境也增加了流量劫持的可能性和复杂程度。

 

流量劫持的方式主要分为两种，域名劫持和数据劫持。

 

域名劫持是针对传统DNS解析的常见劫持方式。用户在浏览器输入网址，即发出一个HTTP请求，首先需要进行域名解析，得到业务服务器的IP地址。使用传统DNS解析时，会通过当地网络运营商提供的Local DNS解析得到结果。域名劫持，即是在请求Local DNS解析域名时出现问题，目标域名被恶意地解析到其他IP地址，造成用户无法正常使用服务。

 

传统DNS解析流程

 

解决域名劫持的一个办法就是绕开Local DNS，通过一个可信的源头来解析域名，解析方式不需要拘泥于DNS协议，也可以通过HTTP的方式。两年前，手机淘宝等APP也曾遇到这一问题，随后在做底层网络优化时，通过使用自己定制的HTTPDNS，一个安全可信的域名解析方案，解决了域名劫持问题。

 

HTTPDNS技术也准备通过阿里云平台开放给广大开发者使用，当前这款产品正在公测中，将于2016年3月29日提供商业化服务。到时，阿里云上的移动开发者也能自主选择，将需要防劫持的域名进行保护。

 

数据劫持基本针对明文传输的内容发生。用户发起HTTP请求，服务器返回页面内容时，经过中间的运营商网络，页面内容被篡改或加塞内容，强行插入弹窗或者广告。

 

行业内解决的办法即是对内容进行HTTPS加密，实现密文传输，彻底避免劫持问题。MD5校验同样能起到防止数据劫持的作用，MD5校验是指内容返回前，应用层对返回的数据进行校验，生成校验值；同时，内容接收方接收到内容后，也对内容进行校验，同样生成校验值，将这两个校验值进行比对，倘若一致，则可以判断数据无劫持。但相比HTTPS加密，MD5校验存在一定风险，劫持方技术能力强则有可能在篡改内容后替换校验值，导致接收方判断错误。

 

使用HTTPS加密，已经成为了互联网行业的大势所趋。今年双11，阿里的淘宝、天猫、聚划算等电商平台也都全面实现了HTTPS加密访问，全站改造投入巨大，但有效防止了资源被劫持，保障了用户的收发信息安全。未来，这一技术将不仅限于电商平台，还将通过阿里云对外输出，赋能更多的中小互联网企业，降低他们的创业成本，在更安全的移动互联网环境中得到发展。

立即试用阿里云 HTTPDNS。