揭秘流量劫持暴利黑幕,专挑Http下手!

栏目: 后端 · 前端 · 发布时间: 6年前

内容简介:凌晨三点,在近千人的"无限流量"QQ群里,依然热闹非凡,不时有消息刷屏"提供劫持技术,有意者私聊"紧接着又来一条"高价收购流量,淘宝、百度、联通、电信流量不限量,合作加QQ。"这是一个不为大众所熟知的黑暗世界。在互联网上,每天有至少超过上万个网络流量被恶意劫持,QQ群里热闹叫卖的正是非法劫持而来的网络流量。所谓流量劫持,就是利用各种恶意软件、木马病毒,修改浏览器、锁定主页或不停弹出新窗口等方式,强制用户访问某些网站,从而造成用户流量损失的情形。

凌晨三点,在近千人的"无限流量"QQ群里,依然热闹非凡,不时有消息刷屏"提供劫持技术,有意者私聊"紧接着又来一条"高价收购流量,淘宝、百度、联通、电信流量不限量,合作加QQ。"

这是一个不为大众所熟知的黑暗世界。在互联网上,每天有至少超过上万个网络流量被恶意劫持,QQ群里热闹叫卖的正是非法劫持而来的网络流量。

在互联网世界,流量就等于金钱

所谓流量劫持,就是利用各种恶意软件、木马病毒,修改浏览器、锁定主页或不停弹出新窗口等方式,强制用户访问某些网站,从而造成用户流量损失的情形。

在巨大的利益面前,流量劫持早已形成一个规模庞大的黑色产业链,源源不断的收入刺激,让流量劫持成了"野火烧不尽"的网络痼疾,也给企业带来了高达千万级的经济损失。如某家品牌企业在大型综合性网站投放了巨额的广告费之后,却发现在北上广地区看到的是自家广告,在长沙、南昌等城市看到的是其他品牌的广告。当企业发现巨额广告费用并没有为自己服务,而是白白打了水漂,气愤之余也倍感无奈。

揭秘流量劫持暴利黑幕,专挑Http下手!

更有甚者,流量劫持者在企业官方网站上插入一些乱七八糟的广告弹窗,或者将企业网站上的内容、图片、参数等信息篡改成色情、赌博等内容,以博取高额利润,严重影响了企业的形象。

流量劫持花样多,专挑Http下手

有人可能会问,如今有众多的杀毒软件、防火墙等安全工具,为什么还会发生劫持流量的事情?什么情况下流量会轻易地被劫持?

据权威CA机构天威诚信技术负责人分析,那些明文传输的http流量,显然是流量劫持者眼中的"肥肉"。Http拥有庞大的流量基数,但同时存在极易攻破的漏洞,自然成为流量劫持者下手的最佳目标。利用Http的缺陷,流量劫持者不费吹灰之力,就可以对通信内容进行窃听、篡改和劫持,在用户鼠标点击的一刹那,流量劫持的故事就已经开始。

从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入,到浏览器插件劫持、Http代理过滤、内核数据包劫持、bootkit......花样翻新的流量劫持手段,在用户流量路过的各个节点布满埋伏,对毫无防御能力的Http流量进行随意掠夺。

如此猖狂,不禁让人想起"打劫圈"最富盛名的一句浑语,"此山是我开,此树是我栽,要想过此路,留下买路财"。

揭秘流量劫持暴利黑幕,专挑Http下手!

权威SSL证书,专治Http流量劫持

流量劫持看似难以防范,其实能通过一个非常容易理解的技术手段去解决,即Https加密的方式。

相较于无法验证通信方身份和数据完整性的http协议,https——一个基于http的安全通信通道,它使用安全套接字层(SSL)进行信息交换,具有身份验证、信息加密和完整性校验的功能,能够确保传输数据的机密性和完整性,以及服务器身份的真实性,从而有效避免http劫持的问题。

通过为网站申请SSL证书即可将http网站升级到https。需要注意的是,这个证书必须向权威知名的CA机构申请,因为知名CA机构的根证书广泛存在于大多数浏览器和操作系统中,因此可以被客户端用来校验网站SSL证书是否合法。

揭秘流量劫持暴利黑幕,专挑Http下手!

当网站使用了由权威CA机构,如天威诚信签发的SSL证书,就相当于给网站通信安上了一个保险柜,所有的信息传输都在加密环境下进行,流量劫持再也无法轻易发生。

从短期看,在巨大的利益诱惑下,流量劫持这只"恶魔之手"还不会消失,但是可以预见的是,https加密正在成为一个全球性的趋势:Google、火狐、百度、360等搜索引擎均公开宣布,对Https网站给予优先收录;而在移动端,微信小程序也要求同步小程序的网站,必须使用https协议。相信在互联网巨头的协力推动下,Http即将成为过去式,全网HTTPS加密的时代将加速到来,让流量劫持再无可能。

【本文版权归存储在线所有,未经许可不得转载。文章仅代表作者看法,如有不同观点,欢迎添加存储在线微信公众号(微信号:doitmedia)进行交流。】


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Web Analytics 2.0

Web Analytics 2.0

Avinash Kaushik / Sybex / 2009-10-26 / USD 39.99

The bestselling book Web Analytics: An Hour A Day was the first book in the analytics space to move beyond clickstream analysis. Web Analytics 2.0 will significantly evolve the approaches from the fir......一起来看看 《Web Analytics 2.0》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具