更有甚者���,流量劫持者在企業(yè)官方網(wǎng)站上插入一些亂七八糟的廣告彈窗,或者將企業(yè)網(wǎng)站上的內(nèi)容��、圖片、參數(shù)等信息篡改成色情���、賭博等內(nèi)容,以博取高額利潤����,嚴重影響了企業(yè)的形象。
流量劫持花樣多�����,專挑Http下手
有人可能會問���,如今有眾多的殺毒軟件�����、防火墻等安全工具����,為什么還會發(fā)生劫持流量的事情��?什么情況下流量會輕易地被劫持�����?
據(jù)權(quán)威CA機構(gòu)天威誠信技術(shù)負責人分析,那些明文傳輸?shù)膆ttp流量����,顯然是流量劫持者眼中的”肥肉”。Http擁有龐大的流量基數(shù)����,但同時存在極易攻破的漏洞,自然成為流量劫持者下手的最佳目標�����。利用Http的缺陷���,流量劫持者不費吹灰之力���,就可以對通信內(nèi)容進行竊聽、篡改和劫持����,在用戶鼠標點擊的一剎那,流量劫持的故事就已經(jīng)開始���。
從主頁配置篡改���、hosts劫持��、進程Hook���、啟動劫持�����、LSP注入�,到瀏覽器插件劫持、Http代理過濾���、內(nèi)核數(shù)據(jù)包劫持���、bootkit……花樣翻新的流量劫持手段,在用戶流量路過的各個節(jié)點布滿埋伏����,對毫無防御能力的Http流量進行隨意掠奪。
如此猖狂���,不禁讓人想起”打劫圈”最富盛名的一句渾語��,”此山是我開����,此樹是我栽,要想過此路����,留下買路財”。
流量劫持看似難以防范,其實能通過一個非常容易理解的技術(shù)手段去解決�����,即Https加密的方式��。
相較于無法驗證通信方身份和數(shù)據(jù)完整性的http協(xié)議���,https——一個基于http的安全通信通道��,它使用安全套接字層(SSL)進行信息交換����,具有身份驗證、信息加密和完整性校驗的功能����,能夠確保傳輸數(shù)據(jù)的機密性和完整性,以及服務(wù)器身份的真實性�,從而有效避免http劫持的問題。
通過為網(wǎng)站申請SSL證書即可將http網(wǎng)站升級到https�。需要注意的是,這個證書必須向權(quán)威知名的CA機構(gòu)申請�����,因為知名CA機構(gòu)的根證書廣泛存在于大多數(shù)瀏覽器和操作系統(tǒng)中���,因此可以被客戶端用來校驗網(wǎng)站SSL證書是否合法。
當網(wǎng)站使用了由權(quán)威CA機構(gòu)�,如天威誠信簽發(fā)的SSL證書,就相當于給網(wǎng)站通信安上了一個保險柜���,所有的信息傳輸都在加密環(huán)境下進行�����,流量劫持再也無法輕易發(fā)生��。
從短期看����,在巨大的利益誘惑下,流量劫持這只”惡魔之手”還不會消失�,但是可以預見的是,https加密正在成為一個全球性的趨勢:Google���、火狐��、百度�����、360等搜索引擎均公開宣布��,對Https網(wǎng)站給予優(yōu)先收錄���;而在移動端,微信小程序也要求同步小程序的網(wǎng)站�,必須使用https協(xié)議。相信在互聯(lián)網(wǎng)巨頭的協(xié)力推動下���,Http即將成為過去式��,全網(wǎng)HTTPS加密的時代將加速到來�����,讓流量劫持再無可能�����。
果-1.jpg)
