流量劫持

BGP BGP全称是Border Gateway Protocol，翻译成中文是边界网关协议，用于全球各个AS之间的路由。它的地位是毋庸置疑的，如果没有它就没有全球的因特网。因为全球各个AS都等价的维护一个BGP也带来一些安全性问题，只要任意一个节点的BGP信息配置失误都可能对全球网络产生影响。 像国内BAT这样的企业都是通过互联网交换中心用BGP与其他各大运营商建立的连接关系对外提供服务的。当然更多的中小型公司没有实力自己另起一个AS与运营商建立BGP邻居，这时他们可以“寄生”在其他运营商中来对外提供服务（比如我接入联通的网络，使用联通提供的ip地址来对外提供服务。此时对于其他AS的网民来讲我就是联通提供给他们的服务）。 注：每一个AS都是一个独立的整体网络，一个AS所有者可以是一家公司，也可以是一个组织。一个组织内的服务器想要对因特网上的网民提供服务就需要通过BGP将自己AS内的ip地址宣告给其他AS，好让其他AS内的用户知道你这有响应服务提供。 换言之，一个AS就好像一个部落，你要想和其他部落进行贸易往来就需要修条路通往其他部落，这条路就是BGP。 因为全球的AS都是用BGP来学习路由，所以我们只需要对BGP稍微“动点手脚”就可以达到流量劫持的目的，下面介绍两种常用方法： 背景： 1.1.1.0/24属于AS100并通过BGP路由宣告出去

自从住进了租房以来，在使用租房的宽带的时候总有个问题，已经几个月了，今天我实在无法忍受这些广告了。决定要整治这些劫持广告。 一开始想到用socks5代理，需要自己租服务器，而且很麻烦，而且我研究了下劫持的页面，并且从网上也发现了一些其它用户遇到的问题。 这里有一个链接： http://bbs.kafan.cn/thread-1856999-1-1.html 上面这个链接详细描述了劫持的毒害。。。。 我主要遇到下面几个类型的劫持： 类型一： 输入百度的时候，后面会自动被加上尾巴然后进行跳转。尤其是输入www.hao123.com的时候，会跳转到 http://www.hao123.com/?tn=94150859_hao_pg 但是如果你使用https://www.baidu.com是没法跳转的，建议大家修改自己的chrome的浏览器的默认搜索引擎，加上https，还好百度开启了https， 这时候我深感推广https的重要性 。没有https的话，这些运营商想怎么改你的网页就怎么修改。 类型二：就是常见的右下角广告了，这个还好解决，装上adblock plus就可以一劳永逸了。 但是真正让我苦恼的是下面的类型三： 类型三：手机访问网页的时候，运营商会根据你的UA来植入广告，这个广告是和pc上浏览器的是不同的。 这个广告是类似于我们玩手游的时候，在网页 中间插入一个广告悬浮窗达到目的

本人以网络技术出身，近两年接触CDN网络，处理了一些CDN方面的网络问题，大多数以运营商丢包，延迟抖动为主，也处理一些硬件故障，比如机械硬盘的读写io测试，内存条兼容性测试，服务器IPMI规划等。这篇文章打算把自己对运营商对资源请求的劫持写下来，这个其实不是很罕见的事例，也不是网上找不到解决办法，也不是无法理解的尖钻技术，只是罗列一下自己的所知。 CDN网络访问拓扑 既然提到了CDN网络，那就顺带提一句吧。 废话不多说，先上图。 　　这回可以开始废话了吧？：大体的工作逻辑有用户的访问、localdns的解析、CDN资源调度、资源应答。 如果按照这种方式去运营CDN 架构 ，估计CDN行业早就倒闭了，先不说资源调度的好坏，如果有恶意的攻击流量，整个CDN系统就直接可以GG思密达了。 运营商劫持概述 劫持的目的 其实目的很简单，关于运营商劫持，一般运营商也不是无故做劫持，毕竟他们维护服务器，维护相应设备（比如分光器、分流器）也需要成本，运营商主要劫持出省流量，对于“小”运营商来说他们有省内流量考核，跨省访问会增加成本输出，集团控制出省流量，所以劫持往往发生在省间传输上。其次所有运营商都可能会做劫持，目的是减少省骨干网络链路的负载压力，尽可能的减少中继链路、远距离骨干链路，负载能力弱的链路上的流量，则会出现劫持的现象。 劫持的方法 运营商/或者小区宽带会有分光器设备

1、何为流量劫持 前不久小米等六家互联网公司发表联合声明，呼吁运营商打击流量劫持。流量劫持最直观的表现，就是网页上被插入了一些乱七八糟的广告/弹窗之类的内容或者网址被无辜跳转，多了推广尾巴。比如下面这种： 页面的右下角被插入了广告。 流量劫持总体来说属于中间人攻击（Man-in-the-Middle Attack，MITM）的一种，本质上攻击者在通信两端之间对通信内容进行嗅探和篡改，以达到插入数据和获取关键信息的目的。目前互联网上发生的流量劫持基本是两种手段来实现的: 域名劫持 ：通过劫持掉域名的DNS解析结果，将HTTP请求劫持到特定IP上，使得客户端和攻击者的服务器建立TCP连接，而非和目标服务器直接连接，这样攻击者就可以对内容进行窃取或篡改。在极端的情况下甚至攻击者可能伪造目标网站页面进行钓鱼攻击。 一般而言，用户上网的DNS服务器都是运营商分配的，所以，在这个节点上，运营商可以为所欲为。例如，访问http://jiankang.qq.com/index.html，正常DNS应该返回腾讯的ip，而DNS劫持后，会返回一个运营商的中间服务器ip。访问该服务器会一致性的返回302，让用户浏览器跳转到预处理好的带广告的网页，在该网页中再通过iframe打开用户原来访问的地址。 HTTP劫持/直接流量修改 ：在数据通路上对页面进行固定的内容插入，比如广告弹窗等。在这种情况下

　　所谓流量劫持就是把别人的流量，抢过来，成为自己的。这样就是中间人收益。流量一般都是网站流量人得数量。也可以是说是网站劫持。 　　那么网站劫持问题都是如何检测的？ 　　IIS7网站监控 　　测网站是否被劫持、DNS污染检测等信息。 　　如何解决流量劫持的问题？ 　　先在页面上增加了一个监听，但凡插入dom就回传，然后把我们自身的插入dom的规则全部捕获到了，再这些dom特征全部加入到例外里。除此之外任何dom插入全部删除。于是这些劫持的广告插入时会立刻被删除。 　　也有另一种做法。 　　不用DOM了，用C语言和Emscripten的框架、WebAssembly写程序，用全屏canvas自己做一套界面甚至是一套窗口管理器（不知道qt之类的Emscripten后端现在到没到能用的程度），自己搞一个OpenSSL之类，通过WebSocket自编协议和服务端通信，搞一个后端化甚至桌面化的前端。 　　这样只要保证WebAssembly的loader和那几行HTML不被篡改，就行了。 　　如果只是想监控处理，就干脆整个DOM动态生成，随时监控所有DOM元素的建立，所有自身脚本不用.js扩展名而只用Content-Type来确定，防劫持关键逻辑用WebAssembly以防被修改，一旦DOM中被插入了外部脚本，或元素之类，就直接打日志发送到服务器。 　　当然，现在的流量劫持用全链路

　　网站劫持:是指当用户打开一个网址的时候，出现一个不归属于网站范畴内的一个广告页面，或者是直接就跳转到某一个不不是这个网站所属的一个网站的分页面。 　　网站劫持问题都是如何检测的？ 　　IIS7网站监控 　　测网站是否被劫持、DNS污染检测等信息。 　　先分析下流量劫持后的效果展现形式有几种？ 　　1、A 标签 　　2、IMG 标签 　　3、IFRAME标签 　　其中有一个相同点，就是有链接，并且链接的域名不是本站域名的链接！ 　　所以有一个思路就是在这些节点追加进 Dom 的时候就干掉，这样不就差不多可以搞定了！具体思路如下： 　　1、配置本站的白名单域名 　　2、在 Body 上绑定 MutationObserver* ，监听 dom 追加的相关事件 　　3、remove 掉没有匹配到的域名 　　4、上报被删掉的域名 （确定是否误) 来源： https://www.cnblogs.com/xiaokeaia/p/11541840.html

　　不同的劫持方式，获得的流量也有所差异。DNS 劫持，只能截获通过域名发起的流量，直接使用 IP 地址的通信则不受影响；只有浏览网页或下载时才有风险，其他场合则毫无问题；而网关被劫持，用户所有流量都难逃魔掌。 　　如果怀疑自己的网页别劫持了？该怎么去确定这个疑问？ 　　iis7网站监控 　　网站的劫持、污染、打开速度等消息可检测。 　　为什么喜欢劫持网页？ 　　理论上说，劫持到用户的流量数据，也就获得相应程序的网络通信。但在现实中，数据并不代表真实内容。一些重要的网络程序，都是私有的二进制协议，以及各种加密方式。想通过流量来还原出用户的聊天信息、支付密码，几乎是不可能的。即使花费各种手段，破解出某个程序的通信协议，然而一旦程序升级改变了协议格式，或许就前功尽弃了。因此，很难找到种一劳永逸的客户端劫持方案。 　　然而，并非所有程序都是客户端的。一种新兴的应用模式 —— WebApp，发展是如此之快，以至于超越客户端之势。在如今这个讲究跨平台、体验好，并有云端支持的年代，WebApp 越来越火热。各种应用纷纷移植成网页版，一些甚至替代了客户端。同时，也造就了流量劫持前所未有的势头。 　　WebApp，其本质仍是普通的网页而已。尽管网页技术在近些年里有了很大的发展，各种新功能一再增加，但其底层协议始终没有太大的改进 —— HTTP，一种使用了 20 多年古老协议。 　　在 HTTP 里

　　为什么自己的访问行为和隐私数据突然会被“偷走”?为什么域名没输错，结果却跑到了一个钓鱼网站上?用户数据泄露、流量劫持、页面篡改等安全事件频发怎么办?部署SSL证书实现全站HTTPS加密保安全! 　　继百度全站启用HTTPS加密后，阿里巴巴旗下的淘宝网&天猫商城也全站启用HTTPS。而Google在过去的几年里，将Google搜索、Gmail、YouTube等产品从HTTP协议改为加密的HTTPS版协议，其在2015年12月宣布将调整Google搜索的索引系统，调整后的索引系统将HTTPS网页为优先索引对象。部署SSL证书实现全站HTTPS为什么可以做到防劫持、防篡改的功效，有哪些优势? 　　HTTPS有什么不同? 　　HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。HTTP 协议采用明文传输信息，存在信息窃听、信息篡改和信息劫持的风险，而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能，可以避免此类问题。 　　TLS/SSL 全称安全传输层协议 (Transport Layer Security), 是介于 TCP

　　如何知道http被劫持？ 　　iis7网站监控 　　检测网站是否被劫持、DNS污染检测、网站打开速度检测等信息。 　　基于 HTTP 的流量劫持，大家应该是比较熟悉了。特别是对于 Web 前端，一般大家说起流量劫持，首先能想到的就是这种。原理上我就不多介绍了，基本上就是因为 HTTP 属于明文协议，中间链路上的任意设备，都可以篡改内容，导致流量劫持。 　　HTTPS 的劫持与防治 　　HTTP 的流量劫持，除了上面列出来的一些方案，其实还有很多特定场景下的方案。例如我曾经见过百度的同学给出的一种方案，是在 HTML 前面增加一大段注释后的代码，诱骗攻击者在注释内进行资源改动。但归根结底，这些方案是经不住考验的。比较理想的方案还是迁移到 HTTPS 上。 　　HTTPS 相关的流量劫持 　　HTTPS 本身其实已经比较安全了，这归功于前面所说的 TLS 协议。但也不代表我们可以完全不关注 HTTPS 的安全问题。在 HTTPS 出现的这些年里， SSL/TLS 的安全问题其实也是不绝于耳的，这里我提两个相对经典的案例来给大家展示一下安全的协议是如何不安全的。 　　防御 HTTPS 流量劫持 　　针对 SSL/TLS 攻击的尝试其实从未停止过，未来也不会就此罢休。除了上面列出的两种经典攻击之外，还有很多相似的案例。在防御 HTTPS 流量劫持上，除了使用 HTTPS 之外

　　如何知道自己的网站是不是出现了劫持类问题？iis7网站监控 　　网站是否被劫持、DNS是否被污染、网站打开速度测试的检查。 　　在谈流量劫持之前，首先我们来了解一下什么叫做流量劫持。对于互联网的最终用户来说，用户对上网的直观感受就是我打开浏览器，输入一个网址，然后我立刻就能看到网页。这是站在用户的角度来看上网，但在这个“上网”的过程中，隐藏了非常多的技术细节。 　　我们国内用户，一般是在家用路由器后面，要访问一个网站的话，会有三个步骤： 　　首先访问 DNS 服务器，将域名转换为 IP 地址。 　　访问这个 IP 地址，这样用户就访问了目标网站。 　　如果是一个建设良好的网站，一般会把静态资源放在 CDN 上。 　　流量劫持就是在这些环节当中，对数据进行偷窃、篡改，甚至转发流量进行攻击的这样一类行为。从危害上来说，互联网上最可怕的攻击也莫过于此了。那互联网发展这么多年了，为什么流量劫持还能够横行呢？流量劫持能够发生，无非是两个原因： 　　网络链路本身不安全。网络链路牵扯到具体的网络协议，这些协议当中，有些从设计上就没有考虑安全问题，贻害至今；另有一些，在当时可能是安全的，但正所谓“没有绝对的安全”，随着计算力和攻击手段的发展，当时安全的协议如今可能已经变得不再安全。 　　干扰安全链路，迫使链路降级到不安全的方案上。这一点可以归结到前面，但单独拿出来说