美好周末午後,數fun fun窩在沙發上看手機綜藝。
但沒看多久,每過一會兒就會彈出一個廣告視窗,而數fun fun隻要一點選關閉鍵,視窗非但未消失,反而跳轉到另一個不知名購物網站。
幾番折騰後,數fun fun抱怨道:“這什麼廣告彈窗啊,關還關不掉,老把我往亂七八糟的網頁領。”
其實,數fun fun這是碰上流量劫持了。就是有人通過控制、修改或者删除某些資料通信的原有路徑或者内容,把數fun fun從原網站引到那些人想讓數fun fun看的目标網站。”
流量劫持分類
域名劫持 ,表現為在使用者正常聯網狀态下,目标域名會被惡意地解析到其他IP位址上,造成使用者無法正常使用服務。
資料劫持 ,指強行插入彈窗或嵌入式廣告等其他内容,幹擾使用者的正常使用。
HTTP協定下更容易發生流量劫持
網頁技術在近些年裡有了很大的發展,但其底層協定始終沒有太大的改進 —— HTTP,一種使用了 20 多年古老協定。在HTTP 裡,一切都是明文傳輸的,流量在途中可随心所欲的被控制。
在自己的裝置上,大家都會記住各種賬号的登入狀态,反正隻有自己用,也沒什麼大不了的。然而,在被劫持的網絡裡,即使浏覽再平常不過的網頁,或許一個悄無聲息的間諜腳本已暗藏其中,不登入也會被劫持,操控起你的賬号了。
HTTPS 如何預防流量劫持
由于 HTTPS 足夠安全,且無法僞造,是以一般劫持者不會選擇營運商下手。
DNS 劫持
實際上 HTTPS 并不能預防 DNS 劫持,但是由于使用者通路頁面會空白或者顯示網頁 HTTPS 不正常,此時會找營運商投訴,是以一般營運商對 DNS 劫持比較慎重,HTTPS 反而是安全的。
HTTP 劫持
事實上,劫持者一般會直接放行 HTTPS 流量,劫持 HTTPS 網頁并不能讓使用者端顯示正常的網頁内容。
預置證書
像一些公司,網吧會強制預置根證書,配合網關達到 HTTPS 劫持的目的。(此方式隻能通過 解析 CAA 記錄解決劫持,但網頁顯示空白)。
不同于簡單的HTTP代理,HTTPS 服務需要權威CA機構頒發的SSL證書才算有效。自簽證書浏覽器不認,而且會給予嚴重的警告提示。而遇到“此網站安全證書存在問題”的警告時,大多使用者會選擇關閉頁面,是以網站證書需要選擇權威CA機構頒發。
這裡所說的權威CA機構是指已經通過WebTrust國際認證,根證書由微軟預置,受微軟等各類作業系統、主流移動裝置和浏覽器信任的CA機構;在中國還要附加一項,就是要拿到工信部許可的CA牌照;這樣的CA機構,才有權利簽發各類數字證書。
目前,HTTPS依然是非常有效的流量劫持防範措施之一,無論是網絡服務提供商還是廣大網民,為保障自己的帳戶安全和個人權益,都要形成使用HTTPS通路網站的習慣和意識,重要的網站更要及時部署權威機構頒發的SSL證書,才能確定網站關鍵資料的安全和完整。