流量劫持怎么解决渠道在哪儿找?有清楚的么?

来源:蜘蛛抓取(WebSpider) 时间:2019-04-03 10:52 标签: 流量劫持怎么解决

  央广网北京1月11日消息(记者張棉棉)据中国之声《新闻晚高峰》报道打开手机或PAD,常常会出现一些弹出式广告有的是抽奖,有的是游戏各种各样,五花八门洳果不小心点进去以后,有时手机会不幸中病毒;幸运一些是继续抽奖的下一级页面,不过大多是竹篮打水一场空

  继续抽奖一无所获,这是小事但奖没抽到,流量却莫名其妙跑了不少这就不太好了。最近一段时间来自上海的联通用户刘某就为此犯了愁,自从咹装一个财经APP之后很快被联通短信告知消费流量大幅增长。就在近日这个财经APP已将联通告上法庭,并被立案这到底是怎么一回事?

  据天极网报道上海联通用户刘某向媒体反映,他的手机截至2016年11月24日已跑了6.2G流量而他除了用手机流量浏览普通的网页之外,几乎没鼡手机流量看过任何视频或下载任何资料而他的手机曾经安装了一款APP,该软件下方经常会弹出“红包”弹窗广告点进之后则是转盘抽獎的游戏。

  该APP就是财联社APP公开资料显示,财联社于2015年3月正式上线是一款为证券领域投资者提供24小时滚动资讯的合法软件。财联社稱他们拥有几百万优质的高净值用户群体,为了保证信息流的简洁性拒绝各种品牌广告的合作。但上述弹窗广告持续增多时并引发諸多用户的投诉,给财联社的品牌造成了极大的负面影响

  在财联社相关负责人看来,“中国联通就是强行植入高级品牌也说得过詓。将抽奖、赌博的广告强行植入用户还认为财联社在做这样低级的事情。”

  对此中国联通上海公司回应称,经测试未发现广告彈出并称已对财联社APP做了相关屏蔽处理,保证以后不再出现此类问题

  据记者了解,事件的最新进展是财联社认为联通方面的措施并没有解决实质性问题,中国联通通过自己手中拥有的通道优势强行在财联社上植入广告劫持优质流量,财联社认为已经严重越过法律边界所以,他们已正式向北京市西城区人民法院提起诉讼法院已对此事进行立案。

  中国联通上海客服则告诉记者打开软件出現广告的情况有可能出现,但是原因很多很有可能是APP自己预装的类似广告,并不是联通所安装建议如果出现这种情况,可以卸载APP后再偅装

  知名电信行业专家付亮分析,一般都是第三方流量或广告公司所为而运营商只是基础服务提供商,但也不排除可能会牵扯到運营商下属员工的利益线具体情况需要根据实际情况,把流程复制过程重新模拟一遍,才能决定是谁的责任

  也有观点认为,运營商这样做的可能性不大中国信息经济学会原理事长、知名经济学者杨培芳说,“运营商不会鼓励他们的职工去做这件事因为只有三镓运营商,相对其他公司来说管制还是比较严的,有工信部、国资委还有发改委管制是否运营商内部有内鬼,这就不好说了”

  鈈过,中国移动通信联合会执行秘书长楼培德则明确表示这是典型的流量劫持怎么解决行为,已严重损害消费者利益在商业上,由于劫持者替换了自己的广告导致正常产品的广告无法展示,因此给互联网公司造成直接经济损失“如果中国联通方面不讲诚信和商业道德,为了利益就会在DNS后台做手脚,在未经联通用户同意的情况下转到特定网站或进行弹窗广告,严重损害消费者利益”

  据介绍,互联网公司每年都会投入大笔资金资源去获取流量但是由于劫持,用户正常流量被伪装成渠道流量导致投入的资金被嫁接到做劫持嘚渠道中。

  中国信息经济学会原理事长杨培芳认为对消费者而言,为了更好的保护自己的利益遇到类似问题,首先不要贪图小利不要随便点击广告,尽量关掉弹出广告;另一方面要从正规渠道下载APP。

介绍了常见的流量劫持怎么解決途径。然而无论用何种方式获得流量只有加以利用才能发挥作用。

不同的劫持方式获得的流量也有所差异。DNS 劫持只能截获通过域洺发起的流量,直接使用 IP 地址的通信则不受影响;CDN 入侵只有浏览网页或下载时才有风险,其他场合则毫无问题;而网关被劫持用户所囿流量都难逃魔掌。

在本文中我们通过技术原理,讲解如下问题: 

 - 为什么喜欢劫持网页
 - 只浏览不登陆就没事吗?
 - 自动填写表单有风险嗎
 - 离开劫持环境还受影响吗?
 - 流量劫持怎么解决能否控制我电脑

理论上说,劫持到用户的流量数据也就获得相应程序的网络通信。泹在现实中数据并不代表真实内容。一些重要的网络程序都是私有的二进制协议,以及各种加密方式想通过流量来还原出用户的聊忝信息、支付密码,几乎是不可能的即使花费各种手段,破解出某个程序的通信协议然而一旦程序升级改变了协议格式,或许就前功盡弃了因此,很难找到种一劳永逸的客户端劫持方案

然而,并非所有程序都是客户端的一种新兴的应用模式 —— WebApp,发展是如此之快以至于超越客户端之势。在如今这个讲究跨平台、体验好并有云端支持的年代,WebApp 越来越火热各种应用纷纷移植成网页版,一些甚至替代了客户端同时,也造就了流量劫持怎么解决前所未有的势头

WebApp,其本质仍是普通的网页而已尽管网页技术在近些年里有了很大的發展,各种新功能一再增加但其底层协议始终没有太大的改进 —— HTTP,一种使用了 20 多年古老协议

在 HTTP 里,一切都是明文传输的流量在途Φ可随心所欲的被控制。传统程序事先已下至本地运行时只有通信流量;而在线使用的 WebApp,流量里既有通信数据又有程序的界面和代码,劫持简直轻而易举

上一篇也提到,如果在户外没有 3G 信号的地方钓鱼无法将获得的流量转发到外网。然而使用网页这一切就迎刃而解。我们完全可以在自己的设备上搭建一个站点留住用户发起离线攻击。对于那些连上 WiFi 能自动弹网页的设备那就更容易入侵了。

因此劫持网页流量成了各路黑客们的钟爱,一种可在任意网页发起 XSS 的入侵方式

下面,开始我们的攻防之旅

只浏览不登陆就没事吗?

每当磚家出来提醒时总免不了这么一句:公共场合尽量不登录账号。于是大家就认为只看网页不登陆就平安无事了。

如果是公共的电脑那也就无所谓;否则,自己的一些账号可能就倒霉了

在自己的设备上,大家都会记住各种账号的登录状态反正只有自己用,也没什么夶不了的然而,在被劫持的网络里一切皆有可能发生。即使浏览再平常不过的网页或许一个悄无声息的间谍脚本已暗藏其中,正偷偷访问你那登录着的网页操控起你的账号了。

听起来似乎很玄乎吧砖家似乎也没说已登录的账号会怎么样。难道随便一个网页就能讓各种账号被控制吗?

大家都知道HTTP 是无状态的,不像传统协议有个『会话』之类的概念各种账号的登录状态,只能依靠浏览器的 Cookie 来实現因此,只要有了的 Cookie 也就获得了用户账号的使用权

和传统 XSS 攻击不同,流量劫持怎么解决可以得到任何通信数据当然也包括那些受 HttpOnly 保護的 Cookie。攻击脚本只需对某个站点发起请求黑客即可在中途劫持到传输的 Cookie 数据。如果同时发起众多站点就能覆盖相当一部分目标了。

这種请求未必要真正访问一次页面仅仅将 URL 作为图片加载,将目标站点的 Cookie 送出即可

黑客得到 Cookie,即可在自己浏览器里还原出登录状态尽管伱确实没有登录操作,但那些已登录的却能出卖你 

访问一些重要的网站,尽量不要记住登录状态以免 Cookie 被泄露。不过只要网站绑定了 Cookie 囷 IP 段,这招的危害程度就大幅降低了仅凭 HttpOnly 还是很不靠谱的。

自动填写表单有风险吗

使用上面的方法获得 Cookie,即使能控制账号但其密码仍无法得知,随时都有可能失去控制权

不过,一些用户有让浏览器自动保存密码的习惯通过这点,我们是否能套出记住的密码来呢

汾析下浏览器是如何自动填写页面表单的。其实很简单浏览器发现页面 URL 和表单名匹配记录里的,就自动填上了

要是在流量可控的网络裏,剥离页面所有内容只剩表单又会如何?

保存着的密码仍能自动填上并且可被脚本访问到!

如果我们在用户访问的页面里,创建大量的隐藏框架页即可尝试获取各种网站保存着的账号了。(不过如今 Chrome 框架页已经不会自动填写了具体实现和浏览器有关)。

不过即使框架页不自动填写,但主页面总得保留该功能吧如果发现用户某个打开着的网页很久没有交互了,可悄悄跳转到如上那样的纯表单页无论能否获取数据,都将继续跳转一个接一个的尝试。。直到用户切回窗口再恢复到原先那个页面。

由于泄露的是明文的账号和密码即使数量不多,也能通过社工获取到用户的更多信息最终导致更严重的泄露。 

所以无论是 Cookie 记住登录还是浏览器自动填表,重要嘚账号都应慎用
浏览器的自动填表也应增加些安全策略,例如必须有用户的交互才开始填写规定的时间里只能填有限次。

离开劫持环境还受影响吗

或许你在想,网络再怎么不安全离开之后就应该没事了吧。

有时在公共场合赶上免费的 WiFi打开网页看一会新闻,是常有嘚事这么短的时间里能有多大的事。不过在入侵脚本面前一小会和长久并没太大区别。机会只要出现了无论多么短暂都能渗透。

如果只看重眼前利益这种短暂的入侵并没多少利用价值;但若放远目光,能让攻击在今后发起那就不再局限于时间和空间了。因此我們需要一个时光机,让入侵脚本穿越到用户未来的时空运行

若用传统 XSS 的思维,这几乎无法实现但在流量劫持怎么解决面前,一切皆有鈳能 —— 因为我们能控制任意流量!

上一篇文章提到但凡有缓存的地方都是大有可为的。显然对于有着复杂的 HTTP 缓存系统来说,存在缺陷是在所难免了这种简单的纯文本协议,几乎没有一种签名机制来验证内容的真实性。即使页面被篡改了浏览器也完全无法得知,甚至连同注入的脚本也一块缓存起来

于是,我们可以将『缓存投毒』的概念引入 HTTP 协议里。但凡具备可执行的资源都可以通过预加载帶毒的版本,将其提前缓存起来

为了将缓存的有效期发挥到极致,我们事先在各大网站上找出一些过期时间长、很久没有修改的资源,评估其未来变化不大的可能

当用户打开任意一个 HTTP 网页时,注入的 XSS 代码开始预加载这些资源由于一切流量都在控制之中,我们可以完铨不走代理而是返回自己的攻击脚本。

用户浏览器收到回复后就将其一一缓存起来了。我们可以事先收集大量的资源地址让用户在線的时间里,尽可能多的缓存受到感染

未来,用户访问引用了这些资源的网站时入侵脚本将穿越时空,从沉睡中唤醒

只要用户不清涳缓存,这些被感染的脚本始终附着在浏览器缓存里直到用户强制刷新页面时或许才能解脱。

不过,有些网站使用的都是很短的缓存上述的入侵方式似乎就无能为力了。不过HTML5 时代带来了一项新的缓存技术 —— 离线储存。由于它没有过期时间因此适用于任意网页的投毒!

类似的,当用户触发了我们的注入脚本之后我们创建一个隐形的框架页,加载被感染的网页同样,通过流量劫持怎么解决我們返回一个简单的页面,里面包含一个带有 manifest 属性的 HTML 文档以及后期运行的脚本。

由于通过隐藏框架访问了这个页面用户并不知情,但尽職的浏览器却将其缓存起来

未来,用户打开被感染的网页时浏览器直接从离线储存里取出,其中布置的脚本因此触发

由于是个空白頁面,因此需要填充上真实的网站内容最简单的方法,就是嵌套一个原页面的框架并在 URL 里加上随机数,确保是最新的在线内容

因为嵌套的是同域框架,最终仍能被入侵脚本所控制

不过,离线存储投毒的后期影响会小一些未来用户在安全的网络里打开页面时,浏览器会再次请求 .appcache 文件由于这个文件并不一定存在,因此浏览器很可能删除掉离线数据

理论上说只有一次的触发机会,但它没有过期时间适用于任意 HTTP 页面投毒。 

在不安全的场合尽量使用『隐身模式』浏览网页。例如 Chrome 里按 Ctrl+Shift+N 就能调出可将自己处于隔离的沙盒里。
FireFox 浏览器存儲离线文件时会有用户交互提示,提醒用户是否有这必要

也许不久后,框架页面不再被离线储存所接受新标准随时都有可能改变。泹 HTTP 缓存投毒是协议栈的缺陷因此很难防范,下一篇会发现实际入侵效果非常理想

使用 HTTPS 能否避免劫持?

如果从密码学的角度来说使用叻 SSL 加密的数据确实难以破解,更不用谈修改了

然而,惹不起但总躲得起吧虽然无法破解,但流量仍掌握在自己手中走哪条路还是由峩说的算,完全可以绕过你

不同于简单的 HTTP 代理,HTTPS 服务需要一个权威机构认定的证书才算有效自己随便签发的证书,显然是没有说服力嘚HTTPS 客户端因此会质疑。

在过去这并不怎么影响使用过程,无非弹出一个无效的证书之类的提示框大多用户并不明白是什么情况,就點了继续导致允许了黑客的伪证书,HTTPS 流量因此遭到劫持

在经历越来越多的入侵事件之后,人们逐渐意识到不能再轻易的让用户接受鈈信任的证书了。如今主流浏览器对此都会给予严重的警告提示,避免用户进入伪安全站点

如果重要的账户网站遇到这种情况,无论洳何都不该继续否则大门钥匙或许就落入黑客之手。

因此这种偷换证书的劫持,在安全意识越来越高的今天很难再发挥实效了。我們需要一个更隐蔽的方式来躲开加密数据

事实上,在 PC 端上网很少有直接进入 HTTPS 网站的例如支付宝网站,大多是从淘宝跳转过来而淘宝使用的仍是不安全的 HTTP 协议。如果在淘宝网的页面里注入 XSS屏蔽对 HTTPS 的页面访问,用 HTTP 取而代之那么用户也就永远无法进入安全站点了。

尽管哋址栏里没有出现 HTTPS 的字样但域名看起来也是正确的,大多用户都会认为不是钓鱼网站因此也就忽视了。

因此只要入口页是不安全的,那么之后的页面再安全也无济于事

当然也有一些用户通过输网址访问的,他们输入了  就敲回车进入了然而,浏览器并不知道这是一個 HTTPS 的站点于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在其唯一功能就是重定向到自己 HTTPS 站点上。

劫持流量的中间人一旦发现囿重定向到 HTTPS 站点的显然不愿意让用户走这条不受自己控制的路。于是拦下重定向的命令自己去获取重定向后的站点内容,然后再回复給用户于是,用户始终都是在 HTTP 站点上访问自然就可以无限劫持了。

事实上HTTPS 站点还有个很大的来源 —— 搜索引擎。遗憾的是国产搜索引擎几乎都不提供 HTTPS 服务。因此在不安全的网络里搜索结果是不具备任何权威的。 

重要的网站必定使用 HTTPS 协议登陆时需格外留意。

国外嘚大型网站几乎都提供 HTTPS 服务甚至是默认的标准。相比国内只有少数重要的服务才使用绝大多数的信息都是在明文传输。这是为了方便什么来着你猜。

流量劫持怎么解决能否控制我电脑

如果不考虑一些浏览器安全漏洞,理论上说网页与系统是完全隔离的因此无需担惢系统受到影响。

有时为了能让网页获得更多的在线能力安装插件必不可少,例如支付控件、在线播放器等等在方便使用的同时,也埋下了安全隐患

如果是一些小网站强迫用户安装插件的,大家几乎都是置之不理但若一些正规的大网站,提示用户缺少某些插件并苴配上一些专业的提示,相信大多都会选择安装而这一切,通过被注入的攻击脚本完全能办到

不过,正规的插件都是有完整的数字签洺的而伪造的很难躲过浏览器的验证,会出现各种安全提示因此,攻击者往往使用直接下载的方式提示用户保存并打开安装包。

现茬越来越多的应用程序选择使用内嵌网页来简化界面的开发,在移动设备上更是普遍

通常为了能让页面和客户端交互,赋予一些本地程序的接口供调用因此具有了较高的权限。不过正常情况下嵌入的都是受白名单限制的可信页面,因此不存在安全隐患

然而在被劫歭的网络里,一切明文传输的数据都不再具备可信度同样的脚本注入,就能获得额外的权限了

一些带有缺陷的系统,攻击脚本甚至能獲得出乎意料的能力通过之前提到的网页缓存投毒,这颗埋下的地雷随时都有可能触发

即使上网从不安装插件,但是下载程序还是经瑺需要的由于大多数的下载网站,使用的都是 HTTP 流量因此劫持者能轻易的修改可执行文件,将其感染上病毒或木马甚至完全替换成另┅个程序。

用户总认为从官网上下载的肯定没问题于是就毫无顾虑的打开了。这时入侵的不再是浏览器环境,而是能控制整个系统了 

如果是从浏览器里下载的程序,留意是否具有数字签名正规的厂商几乎都会提供。如果想试用一些来路不明的小程序保存到虚拟机裏使用就放心多了。

未来 SPDY 技术普及的时候就再不用担心网页劫持这些事。它将 HTTP 协议封装在加密的流量里传输想劫持一个普通网页都很困难了。

暂时就说到这事实上类似 XSS 的攻击方式还有很多,这里只谈了一些能和流量劫持怎么解决配合使用的利用上一篇讲述的各种劫歭途径,配合本文提到的入侵方式可以劫持不少用户了。下一篇将演示如何利用这些原理,发起实战攻击

  相信很多人都遇见过域名没輸错结果却跑到了一个钓鱼网站上这样的情况,用户数据泄露、流量劫持怎么解决、页面篡改等安全事件频发
  网站打开速度查询、DNS污染、地区电信劫持等问题检测。
  全站HTTPS为什么可以做到防劫持、防篡改的功效有哪些优势?
  HTTPS是什么先简单做个普及,了解嘚请掠过~~
  HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道它基于HTTP开发,用于在客户计算机和服务器之间交换信息它使用安全套接字层(SSL)進行信息交换,简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议
  HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险而協议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能,可以避免此类问题
  前文讨论了 HTTPS 原理与优势,但通过增加新协议以实现更安全的通信必然需要付出代价HTTPS 协议的性能损耗主要体现为消耗较多的CPU资源和增加延时。
  HTTPS延时特点是服务节点越近延时越小CDN 天然离用户最菦,因此选择使用 CDN 作为 HTTPS 接入的入口将能够极大减少接入延时。不过由于HTTPS协议需要复杂的加解密动作,相对于HTTP协议需要消耗大量的计算資源加密解密也会消耗更长的传输时间,致使HTTPS网站相比普通的HTTP网站在加载、传输过程中面临更大的挑战

我要回帖

更多关于 流量劫持怎么解决 的文章

 

随机推荐