域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
凌晨三點(diǎn),在近千人的“無(wú)限流量”QQ群里,依然熱鬧非凡,不時(shí)有消息刷屏“提供劫持技術(shù),有意者私聊”緊接著又來(lái)一條“高價(jià)收購(gòu)流量,淘寶、百度、聯(lián)通、電信流量不限量,合作加QQ。”
這是一個(gè)不為大眾所熟知的黑暗世界。在互聯(lián)網(wǎng)上,每天有至少超過(guò)上萬(wàn)個(gè)網(wǎng)絡(luò)流量被惡意劫持,QQ群里熱鬧叫賣(mài)的正是非法劫持而來(lái)的網(wǎng)絡(luò)流量。
在互聯(lián)網(wǎng)世界,流量就等于金錢(qián)
所謂流量劫持,就是利用各種惡意軟件、木馬病毒,修改瀏覽器、鎖定主頁(yè)或不停彈出新窗口等方式,強(qiáng)制用戶訪問(wèn)某些網(wǎng)站,從而造成用戶流量損失的情形。
在巨大的利益面前,流量劫持早已形成一個(gè)規(guī)模龐大的黑色產(chǎn)業(yè)鏈,源源不斷的收入刺激,讓流量劫持成了“野火燒不盡”的網(wǎng)絡(luò)痼疾,也給企業(yè)帶來(lái)了高達(dá)千萬(wàn)級(jí)的經(jīng)濟(jì)損失。如某家品牌企業(yè)在大型綜合性網(wǎng)站投放了巨額的廣告費(fèi)之后,卻發(fā)現(xiàn)在北上廣地區(qū)看到的是自家廣告,在長(zhǎng)沙、南昌等城市看到的是其他品牌的廣告。當(dāng)企業(yè)發(fā)現(xiàn)巨額廣告費(fèi)用并沒(méi)有為自己服務(wù),而是白白打了水漂,氣憤之余也倍感無(wú)奈。
更有甚者,流量劫持者在企業(yè)官方網(wǎng)站上插入一些亂七八糟的廣告彈窗,或者將企業(yè)網(wǎng)站上的內(nèi)容、圖片、參數(shù)等信息篡改成 、賭博等內(nèi)容,以博取高額利潤(rùn),嚴(yán)重影響了企業(yè)的形象。
流量劫持花樣多,專挑Http下手
有人可能會(huì)問(wèn),如今有眾多的殺毒軟件、防火墻等安全工具,為什么還會(huì)發(fā)生劫持流量的事情?什么情況下流量會(huì)輕易地被劫持?
據(jù)權(quán)威CA機(jī)構(gòu)天威誠(chéng)信技術(shù)負(fù)責(zé)人分析,那些明文傳輸?shù)膆ttp流量,顯然是流量劫持者眼中的“肥肉”。Http擁有龐大的流量基數(shù),但同時(shí)存在極易攻破的漏洞,自然成為流量劫持者下手的最佳目標(biāo)。利用Http的缺陷,流量劫持者不費(fèi)吹灰之力,就可以對(duì)通信內(nèi)容進(jìn)行竊聽(tīng)、篡改和劫持,在用戶鼠標(biāo)點(diǎn)擊的一剎那,流量劫持的故事就已經(jīng)開(kāi)始。
從主頁(yè)配置篡改、hosts劫持、進(jìn)程Hook、啟動(dòng)劫持、LSP注入,到瀏覽器插件劫持、Http代理過(guò)濾、內(nèi)核數(shù)據(jù)包劫持、bootkit......花樣翻新的流量劫持手段,在用戶流量路過(guò)的各個(gè)節(jié)點(diǎn)布滿埋伏,對(duì)毫無(wú)防御能力的Http流量進(jìn)行隨意掠奪。
如此猖狂,不禁讓人想起“打劫圈”最富盛名的一句渾語(yǔ),“此山是我開(kāi),此樹(shù)是我栽,要想過(guò)此路,留下買(mǎi)路財(cái)”。
權(quán)威SSL證書(shū),專治Http流量劫持
流量劫持看似難以防范,其實(shí)能通過(guò)一個(gè)非常容易理解的技術(shù)手段去解決,即Https加密的方式。
相較于無(wú)法驗(yàn)證通信方身份和數(shù)據(jù)完整性的http協(xié)議,https——一個(gè)基于http的安全通信通道,它使用安全套接字層(SSL)進(jìn)行信息交換,具有身份驗(yàn)證、信息加密和完整性校驗(yàn)的功能,能夠確保傳輸數(shù)據(jù)的機(jī)密性和完整性,以及服務(wù)器身份的真實(shí)性,從而有效避免http劫持的問(wèn)題。
通過(guò)為網(wǎng)站申請(qǐng)SSL證書(shū)即可將http網(wǎng)站升級(jí)到https。需要注意的是,這個(gè)證書(shū)必須向權(quán)威知名的CA機(jī)構(gòu)申請(qǐng),因?yàn)橹鸆A機(jī)構(gòu)的根證書(shū)廣泛存在于大多數(shù)瀏覽器和操作系統(tǒng)中,因此可以被客戶端用來(lái)校驗(yàn)網(wǎng)站SSL證書(shū)是否合法。
當(dāng)網(wǎng)站使用了由權(quán)威CA機(jī)構(gòu),如天威誠(chéng)信簽發(fā)的SSL證書(shū),就相當(dāng)于給網(wǎng)站通信安上了一個(gè)保險(xiǎn)柜,所有的信息傳輸都在加密環(huán)境下進(jìn)行,流量劫持再也無(wú)法輕易發(fā)生。
從短期看,在巨大的利益誘惑下,流量劫持這只“惡魔之手”還不會(huì)消失,但是可以預(yù)見(jiàn)的是,https加密正在成為一個(gè)全球性的趨勢(shì):Google、火狐、百度、360等搜索引擎均公開(kāi)宣布,對(duì)Https網(wǎng)站給予優(yōu)先收錄;而在移動(dòng)端,微信小程序也要求同步小程序的網(wǎng)站,必須使用https協(xié)議。相信在互聯(lián)網(wǎng)巨頭的協(xié)力推動(dòng)下,Http即將成為過(guò)去式,全網(wǎng)HTTPS加密的時(shí)代將加速到來(lái),讓流量劫持再無(wú)可能。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!