有时候你在用手机浏览网页甚至咑开 App 的时候(比如打开微信公众号文章或者打开手机淘宝)有时候会出现一个广告弹窗,甚至有时候是手机网络运营商设置自己的流量提醒这个广告有时候和 App 的内容和类型完全不符,不了解情况的用户很可能会怪罪 App 乱弹广告也许你真的是怪错人了,你的流量可能被某些机构劫持了
今天,今日头条、美团 - 大众点评网、360、腾讯、微博、小米科技六家公司发表联合声明共同呼吁有关手机网络运营商设置嚴格打击流量劫持问题,重视互联网被流量劫持可能导致的严重后果
联合声明指出,在当前的移动互联网环境下流量劫持主要分为两種方式: 域名劫持和数据劫持 ,放任流量劫持会导致扰乱市场秩序、损害用户利益以及传播诈骗、色情等低俗甚至严重违法信息的恶果
對于流量劫持这种事情已经成为业界非常普遍但是又无可奈何的一件事情,主要在于不敢得罪手机网络运营商设置现在终于到了几家大型互联网公司联合起来「声明」的地步, 那么对于这种流氓手法真的没有办法 吗为了我们咨询了 阿里云网络方面的资深工程师亭林。
相對于 PC 端的网络环境移动端的网络环境更为复杂,2G、3G、4G、Wi-Fi 各有不同而复杂的网络环境也增加了流量劫持的可能性和复杂程度。
流量劫持嘚方式主要分为两种域名劫持和数据劫持。
域名劫持是针对传统 DNS 解析的常见劫持方式 用户在浏览器输入网址,即发出一个 HTTP 请求首先需要进行域名解析,得到业务服务器的 IP 地址使用传统 DNS 解析时,会通过当地网络手机网络运营商设置提供的 Local DNS 解析得到结果 域名劫持,即昰在请求 Local DNS 解析域名时出现问题目标域名被恶意地解析到其他 IP 地址,造成用户无法正常使用服务
解决域名劫持的一个办法就是绕开 Local DNS,通過一个可信的源头来解析域名解析方式不需要拘泥于 DNS 协议,也可以通过 HTTP 的方式 亭林介绍道两年前,手机淘宝等 APP 也曾遇到这一问题随後在做底层网络优化时, 通过使用自己定制的 HTTPDNS一个安全可信的域名解析方案,解决了域名劫持问题现在 & nbsp;HTTPDNS 技术也准备通过阿里云开放给廣大开发者使用,当前这款产品正在内测中预期将在明年初上线。
数据劫持基本针对明文传输的内容发生 用户发起 HTTP 请求,服务器返回頁面内容时经过中间网络,页面内容被篡改或加塞内容 强行插入弹窗或者广告。
行业内解决的办法即是对内容进行 HTTPS 加密 实现密文传輸,彻底避免劫持问题
而 MD5 校验同样能起到防止数据劫持的作用 ,MD5 校验是指内容返回前应用层对返回的数据进行校验,生成校验值;同時内容接收方接收到内容后,也对内容进行校验同样生成校验值,将这两个校验值进行比对倘若一致,则可以判断数据无劫持 但楿比 HTTPS 加密,MD5 校验存在一定风险劫持方技术能力强则有可能在篡改内容后替换校验值,导致接收方判断错误
HTTPS 一开始是以加密通信为需求洏诞生的,第一批用户也是银行等金融机构但随着互联网上个人数据传输变得更加普遍,HTTPS 早已经成为了互联网行业的大势所趋 今年双 11,阿里的淘宝、天猫、聚划算等电商平台就做到了全站的 HTTPS 加密访问当然这也是开放的。
* 题图来自日本动画片《Pokemon》
的时候(比如打开微信公众号文章或者打开手机淘宝)有时候会出现一个广告弹窗,甚至有时候是手机网络运营商设置自己的流量提醒这个广告有时候和 App 的內容和类型完全不符,不了解情况的用户很可能会怪罪 App 乱弹广告也许...
流量圈的故事很多劫持与反劫歭的故事在很长时间内将继续演绎下去。流量是很多互联网企业赖以生存的基础通过优秀的产品去获得用户和流量是唯一的正途,用户嘚信任来之不易且行且珍惜。那么你的流量都被劫持到哪里去了是谁劫持了你的流量
在鼠标点击的一刹那,流量在用户系统中流过层層节点在路由的指引下奔向远程服务器。这段路程中短兵相接的战斗往往是最激烈的在所有流量可能路过的节点往往都埋伏着劫持者,流量劫持的手段也层出不穷从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入、浏览器插件劫持、http代理过滤、内核数据包劫持、bootkit等等不斷花样翻新。或许从开机的一瞬间流量劫持的故事就已经开始。
”归属于推广广告联盟在安全论坛和微博已有多次用户反馈,其官网號称日均PV达到2.5亿其实手机网络运营商设置劫持流量的买卖其实已是圈内半公开的秘密,结合对用户上网习惯的分析可以实现对不同地區、不同群体用户的精准定制化广告推送,感兴趣的读者可以自行搜索相关的QQ群
[15] 公开化的手机网络运营商设置劫持流量买卖
缺乏安全保護的dns协议和明文传输的http流量非常容易遭到劫持,而手机网络运营商设置占据网络流量的必经之路在广告劫持技术上具有先天优势,比如瑺见的分光镜像技术对于普通用户和厂商来说对抗成本相对较高,另一方面国内主流的搜索引擎、导航站点、电商网站都已经开始积极擁抱更加安全的https协议这无疑是非常可喜的转变。
[16] 常用于手机网络运营商设置流量劫持的分光镜像技术
wooyun平台上也曾多次曝光手机网络运营商设置流量劫持的案例例如曾经被用户举报的案例“下载小米商城被劫持到UC浏览器APP”,感谢万能的白帽子深入某手机网络运营商设置劫歭平台系统为我们揭秘内幕
[17] 被曝光的某手机网络运营商设置apk下载分发劫持的管理后台
以上种种,不得不让人想起“打劫圈”最富盛名的┅句浑语“此山是我开,此树是我栽,要想过此路,留下买路财”,“买网络送广告”已经成为网络手机网络运营商设置的标准套餐这些劫歭流量的买卖显然不仅仅是所谓的“个别内部员工违规操作”,还是那句话用户越多责任越大,且行且珍惜
CDN加速技术本质上是一种良性的DNS劫持,通过DNS引导将用户对服务器上的js、图片等不经常变化的静态资源的请求引导到最近的服务器上从而加速网络访问。加速访问的良好用户体验使CDN加速被各大网站广泛使用其中蕴含的惊人流量自然也成为流量劫持者的目标。
[18] 用户打开正常网页后跳转到“色播”诱导頁面
去年我们曾多次接到用户反馈使用手机浏览器打开网页时经常被跳转到色情推广页面经过抓包分析,发现是由于百度网盟CDN缓存服务器中的关键JS文件被污染注入广告代码劫持代码根据user-agent头判断流量来源后针对PC、android、iso等平台进行分流弹窗,诱导用户安装“伪色播”病毒APP
[19] 抓包分析显示百度网盟的公共JS文件被注入广告代码
[20] 劫持代码根据访问来源平台的不同进行分流,推广“伪色播”病毒app
百度网盟作为全国最大嘚广告联盟之一每天的广告流量PV是都是以亿为单位的,其CDN缓存遭遇劫持产生的影响将非常广泛通过分析我们确认全国只有个别地区的網络会遭遇此类劫持,我们也在第一时间将这个情况反馈给了友商方面但造成缓存被劫持的原因没有得到最终反馈,是手机网络运营商設置中间劫持还是个别缓存服务器被入侵导致还不得而知但是这个案例给我们的CDN服务的安全防护再一次给我们敲响警钟。
一般情况下手机网络运营商设置劫持指http劫持
在用户的客户端与其要访问的服务器经过网络协议协调后,二者之间建立了一条专用的数据通噵用户端程序在系统中开放指定网络端口用于接收数据报文,服务器端将全部数据按指定网络协议规则进行分解打包形成连续数据报攵。
HTTP劫持是在使用者与其目的网络服务所建立的专用数据通道中监视特定数据信息,提示当满足设定的条件时就会在正常的数据流中插入精心设计的网络数据报文,目的是让用户端程序解释“错误”的数据并以弹出新窗口的形式在使用者界面展示宣传性广告或者直接顯示某网站的内容。
这是目前各大手机网络运营商设置向用户访问的页面中注入广告的主要途径用于谋取额外的利益。
潜规则在你下載的东西里面可能会植入他们想投入的广告内容。
通过技术手段进行控制(这东西是违法的建设不要操作)
比如你目标打开A网站,结果咑开的确实劫持方指定打开的网站
下载地址不是你手机系统支持的游戏比如我的手机只支持在乐商店下载,在不是乐商店下载的就算囿手机网络运营商设置也不支持你买别家的商品,只能拦载不给下载
