滑動(dòng)鼠標(biāo)點(diǎn)擊的那一刻,流量在用戶系統(tǒng)中流過(guò)層層節(jié)點(diǎn),在路由器的指引下,奔向遠(yuǎn)方的服務(wù)器。
這段路程十分兇險(xiǎn),黑客們的流量劫持手段層出不窮,從主頁(yè)篡改、hosts劫持、LSP注入,再到瀏覽器插件劫持,內(nèi)核數(shù)據(jù)包劫持等等花樣很多。
或許在你按下電腦開(kāi)機(jī)鍵的那一刻,流量劫持就已經(jīng)開(kāi)始了。
老牌軟件劍走偏鋒
很多十幾年歷史的老牌軟件,為了應(yīng)對(duì)日漸疲軟的發(fā)展態(tài)勢(shì),開(kāi)始劍走偏鋒,劫持導(dǎo)航主頁(yè)。
通過(guò)對(duì)瀏覽器的配置文件格式和加密算法做逆向分析,實(shí)現(xiàn)主頁(yè)篡改。Chrome、QQ、360等20余款主流瀏覽器無(wú)一幸免。
它們的運(yùn)作方式,有如下幾個(gè)特點(diǎn):
冒充正規(guī)軟件:實(shí)際上這些軟件做的十分簡(jiǎn)陋,常見(jiàn)的諸如某某日歷、某某天氣預(yù)報(bào)等等。流氓軟件試圖通過(guò)這些正常功能,逃避安全軟件的攔截。
獲取流量:通過(guò)主頁(yè)鎖定、網(wǎng)頁(yè)劫持、廣告彈窗、流量暗刷,靜默安裝等手段,獲取經(jīng)濟(jì)利益。
變種速度快:流氓軟件被安全軟件清理后,會(huì)立刻通過(guò)其他渠道收購(gòu)數(shù)字證書更換上去。
廣告彈窗屢禁不止
提到流量結(jié)合此,不得不提廣告彈窗掛馬攻擊,它本質(zhì)上也是一種本地流量劫持,更確切的說(shuō),也超可以稱之為“流量污染。”
原本的廣告流量,被注入網(wǎng)頁(yè)木馬,以廣告彈窗等形式在客戶端觸發(fā),流量劫持者將非常廉價(jià)的廣告彈窗流量轉(zhuǎn)化成了更高價(jià)格的安裝了。
一個(gè)每1000用戶展示只有幾元錢的成本,通過(guò)網(wǎng)頁(yè)掛馬(假設(shè)成功率為5%),劫持者便能獲取20個(gè)用戶安裝量,平均每個(gè)用戶安裝5款軟件,保守估計(jì)有50元收益,利潤(rùn)翻了十翻!
很多軟件廠商,對(duì)自身廣告流量的管理監(jiān)控存在漏洞,導(dǎo)致被插入網(wǎng)頁(yè)木馬的流量,被大批推送到客戶端,使用戶感染病毒。
當(dāng)一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包成功躲過(guò)本地主機(jī)系統(tǒng)上的層層流量劫持后,穿行于各個(gè)路由網(wǎng)關(guān)節(jié)點(diǎn),又要面對(duì)另一種劫持手段。
它們有的被指引向錯(cuò)誤的終點(diǎn)(DNS劫持),也有可能在半路被冒名頂替(302重定向),或者直接被篡改(HTTP注入)。
運(yùn)營(yíng)商劫持
很多用戶都遇到這樣一種情況,電腦系統(tǒng)、安全軟件掃描沒(méi)有任何異常,但就是總出現(xiàn)一些莫名其妙的彈出廣告,或者跳轉(zhuǎn)到其他網(wǎng)站。
這就是運(yùn)營(yíng)商劫持。
對(duì)于普通用戶可以說(shuō)深惡痛絕,企業(yè)和網(wǎng)站也深受其害,正常業(yè)務(wù)、企業(yè)形象都會(huì)受到影響。
在15年底,深受運(yùn)營(yíng)商劫持困擾的騰訊、小米、微博等6家互聯(lián)網(wǎng)公司,共同發(fā)表了一篇抵制運(yùn)營(yíng)商流量劫持的聯(lián)合聲明。
好在國(guó)內(nèi)主流的搜索引擎、導(dǎo)航站點(diǎn)、電商網(wǎng)站等都已經(jīng)擁抱更加安全的https協(xié)議,運(yùn)營(yíng)商劫持現(xiàn)象得到一定程度的改善。
CDN緩存污染
CDN本質(zhì)上也是一種DNS劫持,只不過(guò)與一般DNS劫持不同,CDN的劫持是良性的,有利于網(wǎng)站數(shù)據(jù)傳輸?shù)姆€(wěn)定。正因?yàn)槿绱耍珻DN帶來(lái)的良好用戶體驗(yàn),被各大網(wǎng)站廣泛使用。
CDN蘊(yùn)含的驚人流量,也時(shí)常成為流量劫持者的目標(biāo),在廣告聯(lián)盟中尤為常見(jiàn)。
經(jīng)過(guò)分析,CDN緩存污染只會(huì)發(fā)生在個(gè)別地區(qū)的網(wǎng)絡(luò)中。近幾年來(lái),隨著云服務(wù)產(chǎn)業(yè)的不斷升級(jí),此類攻擊事件門檻不斷提高,但對(duì)CDN服務(wù)的安全防護(hù),仍然不可松懈。
DNS劫持
路由器作為億萬(wàn)用戶網(wǎng)絡(luò)接入的基礎(chǔ)設(shè)備,其安全重要性不言而喻。
盡管主流路由器品牌基本沒(méi)有漏洞,每年也都在發(fā)布修復(fù)補(bǔ)丁的固件,但由于很少用戶會(huì)進(jìn)行升級(jí),DNS劫持事件常有發(fā)生。
攻擊者一般會(huì)利用漏洞或后門,獲取路由器的系統(tǒng)權(quán)限,種植僵尸木馬。或者獲得最高權(quán)限后,篡改默認(rèn)DNS服務(wù)器設(shè)置,劫持用戶流量。
流量是很多互聯(lián)網(wǎng)企業(yè)賴以生存的基礎(chǔ),有流量的地方,就有利益,通過(guò)優(yōu)秀的產(chǎn)品去獲得用戶和流量才是正途,同時(shí)我們也應(yīng)該對(duì)各種流量劫持方式有所防范,以免波及核心業(yè)務(wù)。
