揭秘流量劫持暴利黑幕,专挑Http下手!

栏目: 后端 · 前端 · 发布时间: 5年前

内容简介:凌晨三点,在近千人的"无限流量"QQ群里,依然热闹非凡,不时有消息刷屏"提供劫持技术,有意者私聊"紧接着又来一条"高价收购流量,淘宝、百度、联通、电信流量不限量,合作加QQ。"这是一个不为大众所熟知的黑暗世界。在互联网上,每天有至少超过上万个网络流量被恶意劫持,QQ群里热闹叫卖的正是非法劫持而来的网络流量。所谓流量劫持,就是利用各种恶意软件、木马病毒,修改浏览器、锁定主页或不停弹出新窗口等方式,强制用户访问某些网站,从而造成用户流量损失的情形。

凌晨三点,在近千人的"无限流量"QQ群里,依然热闹非凡,不时有消息刷屏"提供劫持技术,有意者私聊"紧接着又来一条"高价收购流量,淘宝、百度、联通、电信流量不限量,合作加QQ。"

这是一个不为大众所熟知的黑暗世界。在互联网上,每天有至少超过上万个网络流量被恶意劫持,QQ群里热闹叫卖的正是非法劫持而来的网络流量。

在互联网世界,流量就等于金钱

所谓流量劫持,就是利用各种恶意软件、木马病毒,修改浏览器、锁定主页或不停弹出新窗口等方式,强制用户访问某些网站,从而造成用户流量损失的情形。

在巨大的利益面前,流量劫持早已形成一个规模庞大的黑色产业链,源源不断的收入刺激,让流量劫持成了"野火烧不尽"的网络痼疾,也给企业带来了高达千万级的经济损失。如某家品牌企业在大型综合性网站投放了巨额的广告费之后,却发现在北上广地区看到的是自家广告,在长沙、南昌等城市看到的是其他品牌的广告。当企业发现巨额广告费用并没有为自己服务,而是白白打了水漂,气愤之余也倍感无奈。

揭秘流量劫持暴利黑幕,专挑Http下手!

更有甚者,流量劫持者在企业官方网站上插入一些乱七八糟的广告弹窗,或者将企业网站上的内容、图片、参数等信息篡改成色情、赌博等内容,以博取高额利润,严重影响了企业的形象。

流量劫持花样多,专挑Http下手

有人可能会问,如今有众多的杀毒软件、防火墙等安全工具,为什么还会发生劫持流量的事情?什么情况下流量会轻易地被劫持?

据权威CA机构天威诚信技术负责人分析,那些明文传输的http流量,显然是流量劫持者眼中的"肥肉"。Http拥有庞大的流量基数,但同时存在极易攻破的漏洞,自然成为流量劫持者下手的最佳目标。利用Http的缺陷,流量劫持者不费吹灰之力,就可以对通信内容进行窃听、篡改和劫持,在用户鼠标点击的一刹那,流量劫持的故事就已经开始。

从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入,到浏览器插件劫持、Http代理过滤、内核数据包劫持、bootkit......花样翻新的流量劫持手段,在用户流量路过的各个节点布满埋伏,对毫无防御能力的Http流量进行随意掠夺。

如此猖狂,不禁让人想起"打劫圈"最富盛名的一句浑语,"此山是我开,此树是我栽,要想过此路,留下买路财"。

揭秘流量劫持暴利黑幕,专挑Http下手!

权威SSL证书,专治Http流量劫持

流量劫持看似难以防范,其实能通过一个非常容易理解的技术手段去解决,即Https加密的方式。

相较于无法验证通信方身份和数据完整性的http协议,https——一个基于http的安全通信通道,它使用安全套接字层(SSL)进行信息交换,具有身份验证、信息加密和完整性校验的功能,能够确保传输数据的机密性和完整性,以及服务器身份的真实性,从而有效避免http劫持的问题。

通过为网站申请SSL证书即可将http网站升级到https。需要注意的是,这个证书必须向权威知名的CA机构申请,因为知名CA机构的根证书广泛存在于大多数浏览器和操作系统中,因此可以被客户端用来校验网站SSL证书是否合法。

揭秘流量劫持暴利黑幕,专挑Http下手!

当网站使用了由权威CA机构,如天威诚信签发的SSL证书,就相当于给网站通信安上了一个保险柜,所有的信息传输都在加密环境下进行,流量劫持再也无法轻易发生。

从短期看,在巨大的利益诱惑下,流量劫持这只"恶魔之手"还不会消失,但是可以预见的是,https加密正在成为一个全球性的趋势:Google、火狐、百度、360等搜索引擎均公开宣布,对Https网站给予优先收录;而在移动端,微信小程序也要求同步小程序的网站,必须使用https协议。相信在互联网巨头的协力推动下,Http即将成为过去式,全网HTTPS加密的时代将加速到来,让流量劫持再无可能。

【本文版权归存储在线所有,未经许可不得转载。文章仅代表作者看法,如有不同观点,欢迎添加存储在线微信公众号(微信号:doitmedia)进行交流。】


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

程序设计实践

程序设计实践

[美] Brian W. Kernighan、Rob Pike / 裘宗燕 / 机械工业出版社 / 2000-8 / 20.00元

这本书从排错、测试、性能、可移植性、设计、界面、风格和记法等方面,讨论了程序设计中实际的、又是非常深刻和具有广泛意义的思想、技术和方法。一起来看看 《程序设计实践》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

SHA 加密
SHA 加密

SHA 加密工具

html转js在线工具
html转js在线工具

html转js在线工具