浅谈网络劫持的原理和影响

劫持无处不在。利用饿了么的2元补差价可以从用户的支付宝中扣走2000元，利用订的机票信息获取用户的信任骗取财产，总是被重定向到一些我不想访问的页面访问，为什么自己弹出那么多广告？为什么点击下载界面后出现正常链接？为什么我们的数据信息如此不安全？对于普通用户来说，你的请求数据发出后，会去哪里，会去哪里，如何处理响应，后面的一切都是黑洞。而对于那些想利用你的信息做坏事的人来说，每一个环节都是他们的可乘之机。先不说坏人通过爬虫、数据库取证等方式获取用户信息。我们数据访问的最直接操作员可能会分析和监控我们的数据。比如敏感信息的监控，涉黄涉恐信息的过滤，我们能感受到的影响可能就是网络劫持。那么运营商为什么要做网络劫持，用什么手段来做网络劫持，网络劫持的利弊是什么？近年来，随着网络购物、直播、物联网、共享经济、人工智能等，劫持事件的发生不断深入到我们的生活中，互联网行业得到快速发展。据***第40期《中国互联网发展统计报告》报道，截至2017年6月，中国网民规模已达7.51亿，占全球网民的1/5。随之而来的是网络流量的不断增加。目前，我国国际网络出口带宽已经达到8T，而国内用户产生的网络流量远大于这个数字。与此相对应的是中国复杂的网络环境。除了中国电信、中国联通、中国移动这些比较大的网络接入厂商外，还有长城宽带、鹏博士、教育网、科技网、广电等不下20家小型运营商.此外，每个省市彼此独立运作。这样会导致网络中出现很多跨网络、跨运营商的情况，基本上是很难避免的。但是各个运营商的出口带宽不尽相同，这很可能成为网络峰值的瓶颈。同时，如此大量的跨网访问流量会在运营商之间产生大量的结算费用。也就是说，运营商之间的互通是需要收费的。作为运营商，面对如此大的带宽流量。如何保证用户体验，降低自身成本。于是，他们找到了网络劫持的计划。劫持原理运营商劫持大致分为两种方式：DNS强制解析方式访问请求的302重定向方式。DNS强制解析是通过修改运营商本地的DNS记录，将用户流量引导到缓存服务器。工作方式如下：用户通过域名发起访问请求；请求通过本地DNS解析；运营商DNS设置强制解析策略；即所有对域名的请求都解析到预先写好的服务器上；最终用户交互访问被劫持的服务器；如果被劫持的服务器有需要的访问内容，会直接返回响应给用户；如果没有，它会去源站点同步内容。302重定向的方式和DNS强制解析的方式主要区别在引流的方式上。内容缓存就是通过监控网络出口的流量来分析判断哪些内容可以被劫持。然后向被劫持的内存发起302跳转回复，引导用户获取内容。需要对上行请求流量进行端口镜像或拆分处理。可以理解为复制一份上行流量信息。工作方式如下：终端用户发起访问请求；流量通过网络出口发起访问；访问流量镜像到劫持系统的DPI设备；4、DPI分析判断流量，比如httpget、80端口等数据缓存系统判断是否是热点资源，比如连续5次请求同一个内容；向用户发送响应请求，告诉客户本地是客户需要访问的内容；由于本地缓存系统距离客户较近，客户较早收到缓存系统的响应；用户与本地缓存系统建立网络交互，源站响应迟，自动断开连接；如果本地有缓存内容，则给用户响应内容，如果本地没有缓存内容，则统计访问次数。当达到响应的内容时。从两类算子缓存的特点可以看出劫持的影响。两者都是通过获取用户数据流量来引导用户访问内容缓存服务器。区别在于引导用户的方式。DNS强制解析是通过修改域名解析记录，强制将该域名下的所有请求引导至被劫持的服务器。这种方法简单粗暴，容易引起很多问题。比如域名下有动态内容，也会被缓存。这将导致登录序列号出现问题。缓存的内容更新不及时，访问的都是旧内容。这也是很多用户无法接受的。一些冷门资源的缓存会造成存储的浪费。流量劫持的方式需要对用户流量进行镜像分析判断。缓存一些系统判断可以缓存??的热点内容。DNS强制解析主要针对图片，302重定向主要针对下载文件、音视频等大文件。运营商应用劫持系统可以带来的好处是：减少跨网传输的接入，减少运营商之间的跨网费用结算。全国各地区、各运营商独立运营，日常互联产生的流量需要结算。而这笔费用其实是一笔巨大的开支，需要不断地结算。大多数运营商之间的网络出口在几十到几百G不等，内容缓存系统可以有效降低网络高峰时出口带宽的压力，从而减少互通网络的扩展。降低网络建设成本。由于缓存系统可以支持本地化服务，因此也可以在一定程度上达到加快网络访问速度，提升用户体验的目的。由于运维系统人员无法及时获取被劫持内容的更新，或者对被劫持内容做其他事情，缺点是：经常访问过期内容，文件更新缓慢。导致得不到你想要的信息。跳转到其他网站页面，或被插入牛皮癣广告。为了减少运营商缓存和劫持的影响，目前很多企业都在使用HTTPS。包括苹果之前要求所有域名必须是HTTPS，那么HTTPS能不能从根本上解决这种问题呢？通过以上分析，显然无法有效解决。因为https采用了加解密的方式，降低了内容被篡改的可能性，但是从运营商劫持的原理来看，并不能有效降低被劫持的可能性。【本文为栏目组织《奇安科技》原创文章，转载请微信公众号(bigsec)联系原作者】点此查看本作者更多好文