漫谈流量劫持
科普:详解流量劫持的形成原因(1)
科普:详解流量劫持的形成原因(1)流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬。
众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道。
只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改。
AD:流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬。
众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道。
只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改。
互联网一夜间变得岌岌可危。
攻击还是那几种攻击,报道仍是那千篇一律的砖家提醒,以至于大家都麻木了。
早已见惯运营商的各种劫持,频繁的广告弹窗,大家也无可奈何。
这么多年也没出现过什么损失,也就睁只眼闭只眼。
事实上,仅仅被运营商劫持算是比较幸运了。
相比隐匿在暗中的神秘黑客,运营商作为公众企业还是得守法的,广告劫持虽无节操但还是有底线的。
这不,能让你看见广告了,也算是在提醒你,当前网络存在被劫持的风险,得留点神;相反,一切看似风平浪静毫无异常,或许已有一个天大的间谍潜伏在网络里,随时等你上钩这可不是弹广告那样简单,而是要谋财盗号了!我会被劫持吗?不少人存在一个错误的观点:只有那些安全意识薄弱的才会被入侵。
只要装了各种专业的防火墙,系统补丁及时更新,所有的密码都很复杂,劫持肯定是轮不到我了。
的确,安全意识强的自然不容易被入侵,但那只对传统的病毒木马而已。
而在流量劫持面前,几乎是人人平等的。
网络安全与传统的系统安全不同,网络是各种硬件设备组合的整体,木桶效应尤为明显。
即使有神一样的系统,但遇到猪一样的设备,你的安全等级瞬间就被拉低了。
现在越来越流行便宜的小路由,它们可是承载着各种网上交易的流量,你能放心使用吗?即使你相信系统和设备都绝对可靠,就能高高山美人茶 枕无忧了吗?事实上有问题的设备并不多,但出问题的事却不少,难道其中还存在什么缺陷?没错,还遗漏了最重要的一点:网络环境。
流量劫持原理
流量劫持原理流量劫持是指黑客或者恶意软件通过各种手段篡改网络数据包,将用户原本要访问的网站重定向到其他网站,从而窃取用户的流量和信息。
流量劫持是一种常见的网络攻击手段,它对用户和网站都造成了严重的危害。
本文将介绍流量劫持的原理和常见的攻击方式,以及如何防范流量劫持。
流量劫持的原理主要是通过篡改DNS解析、劫持HTTP请求、注入恶意代码等手段来实现的。
首先,黑客可以通过篡改DNS服务器的解析结果,将用户原本要访问的网站域名解析到恶意网站的IP地址上,从而实现流量劫持。
其次,黑客还可以通过劫持HTTP请求,篡改服务器返回的数据,将用户重定向到恶意网站,或者在网页中注入恶意代码,从而控制用户的浏览器行为。
此外,黑客还可以通过恶意软件感染用户设备,篡改设备的网络设置,实现对用户流量的劫持。
针对流量劫持,黑客采用了多种攻击方式。
其中,DNS劫持是一种常见的攻击方式。
黑客可以通过攻击DNS服务器,篡改DNS解析结果,将用户的域名解析到恶意网站的IP地址上,从而实现对用户流量的劫持。
此外,黑客还可以通过HTTP劫持,篡改服务器返回的数据,将用户重定向到恶意网站,或者在网页中注入恶意代码,控制用户的浏览器行为。
为了防范流量劫持,用户和网站可以采取一些有效的措施。
首先,用户可以通过使用可靠的DNS解析服务商,及时更新操作系统和浏览器,安装可信赖的防火墙和杀毒软件,加强对设备的安全防护。
其次,网站可以采用HTTPS协议加密传输数据,使用安全的认证机制,加强对服务器和网站的安全防护,及时修复漏洞,避免遭受流量劫持攻击。
总之,流量劫持是一种常见的网络攻击手段,对用户和网站都造成了严重的危害。
了解流量劫持的原理和常见的攻击方式,以及采取有效的防范措施,对于保护用户和网站的安全至关重要。
希望本文能够帮助读者更好地了解流量劫持,并加强对网络安全的重视和防范意识。
揭开“流量劫持”的神秘面纱:劫持五万IP流量,月入至少三万
揭开“流量劫持”的神秘面纱:劫持五万IP流量,月入至少三万明明打开的是A网站,莫名其妙却被跳转至B网站;明明想下的是A软件,下载安装后却是B软件;打开一个App,弹出的广告让人心乱如麻,同时也不胜其烦……你以为电脑手机中毒了?错!或许你真的错怪了病毒,因为你的互联网流量很可能被劫持了。
在互联网的世界里,流量劫持并不是件新鲜事。
所谓流量劫持,是指通过一定技术手段,控制用户的上网行为,让你打开不想打开的网页,看到不想看的广告,而这些都会给劫持者带去源源不断的收入。
尽管早已存在,但在“用户是绵羊”的环境下,流量劫持始终“野火烧不尽”。
到底谁在劫持流量?流量劫持背后的“恶魔之手”究竟什么样?《IT时报》记者调查发现,在互联网世界,流量劫持背后有一个庞大的灰色产业链,仅DNS劫持一种方式,每天被恶意劫持的流量至少有上千万个IP。
下载小米商店却“变脸”成UC浏览器不久前,乌云网发布的一则《疑似某基于运营商流量的APK劫持推广系统存漏洞(每天高达百万计的劫持数据统计)》的公告再次将“流量劫持”推到了风口浪尖。
事情起源是乌云网白帽子“路人甲”的朋友在下载小米商店应用时遭遇尴尬,无论是手机端还是PC端,下载到本地都会变成UC浏览器。
“路人甲”随后进行抓包测试,在测试过程中发现了一套隐秘的管理系统。
在乌云网提供给记者的漏洞信息中,详细分解了“路人甲”是如何发现背后劫持流量那只黑手的过程:先是在抓包测试过程中发现了UC浏览器的下载链接,该用户在利用当地运营商宽带发出请求时,传回的链接就被篡改了。
“路人甲”顺藤摸瓜,挖出了一个“安装分发平台”,并在后台的数据库中发现,每天从该系统中被劫持的数据都很庞大,最高一天劫持数量达到了151万,这只是一个准二线城市的量级。
“简单来说就是下载时地址为a,然后下载链接变成了地址b,b 地址尾部有个加密参数,解密后是a地址,但下载的依然是b地址里的内容,”一位乌云网的安全专家向《IT时报》记者解释道。
流量劫持的刑法规制思考--以第102号指导性案例为视角
2019年11月V ol.21No.6西南石油大学学报(社会科学版)Journal of Southwest Petroleum University(Social Sciences Edition)第21卷第6期Nov.2019DOI:10.11885/j.issn.16745094.2019.09.02.01文章编号:16745094(2019)06007608中图分类号:DF611文献标志码:A流量劫持的刑法规制思考以第102号指导性案例为视角陈禹衡*东南大学法学院,江苏南京211189摘要:随着网络时代的高速发展,流量劫持已经成为危害广泛的网络安全问题。
以前的司法审判倾向于将流量劫持定性为不正当竞争行为,但第102号指导性案例的发布则释放出趋于刑法规制的信号。
流量劫持主要包括DNS劫持、CDN劫持、网关劫持、客户端劫持,特点是高度隐蔽性、证据收集难度大、行为性质有争议。
流量劫持的犯罪客体有虚拟财产说、计算机信息系统管理秩序说、计算机信息系统安全说。
在司法实践中,对流量劫持规制模式的选择,需要依据硬性流量劫持和软性流量劫持予以区分,同时以第102号指导性案例为指引,通过刑法予以规制,坚决遏制流量劫持这一“技术越界”行为,利用刑法的强制力保障计算机信息系统的安全与稳定。
关键词:流量劫持;指导性案例;计算机信息系统安全;技术越界;虚拟财产Thoughts on the Criminal Law Regulation of Traffic HijackingFrom the Perspective of Guiding Case No.102CHENG Yuheng*School of Law,Southeast University,Nanjing Jiangsu,211189,ChinaAbstract:With the rapid development of the internet era,traffic hijacking has become an extensive threat to network security.Traffic hijacking used to be defined as unfair competition in judicial practice,but Guiding Case No.102signals that traffic hijacking should be adjudged to be a criminal crime.Traffic hijacking like DNS hijacking,CDN hijacking,BGP hijacking,and client-side hijacking is of controversial nature.As it is done covertly,it is difficult to collect evidence.The criminal objects of traffic hijacking are defined as virtual assets,the management order of computer information system,and computer information system security.In judicial practice,legal regulation on traffic hijacking needs to be differentiated based on hard traffic hijacking and soft traffic hijacking.According to Guiding Case No.102,the“technical transgression”behavior should be regulated by the criminal law so as to curb hijacking and to ensure the security and stability of computer information systems.Key words:traffic hijacking;guiding case;computer information system security;technical transgression;virtual assets陈禹衡.流量劫持的刑法规制思考以第102号指导性案例为视角[J].西南石油大学学报:社会科学版,2019,21(6):7683.CHENG Yuheng.Thoughts on the Criminal Law Regulation of Traffic Hijacking:From the Perspective of Guiding Case No.102[J].Journal of Southwest Petroleum University:Social Sciences Edition,2019,21(6):7683.*收稿日期:20190902作者简介:陈禹衡(1994),男(汉族),江苏淮安人,博士研究生,研究方向:刑法学。
安全操作规程防止网络流量劫持
安全操作规程防止网络流量劫持网络流量劫持是一种严重威胁网络安全的行为,为了保护个人信息和数据安全,我们需要遵守一系列安全操作规程。
本文将介绍一些防止网络流量劫持的操作方法和注意事项。
一、保持操作系统和应用程序的更新保持操作系统和应用程序的更新是防止网络流量劫持的第一步。
及时安装操作系统和应用程序的安全更新补丁,可以修复已知的漏洞,提高系统的安全性。
同时,关闭自动更新功能也能减少被黑客利用的风险。
二、使用可靠的安全软件和防火墙安装可靠的防火墙和安全软件是防止网络流量劫持的重要手段。
防火墙可以监控和过滤网络数据流量,识别并拦截可疑的流量。
有些安全软件还可以提供反病毒和恶意软件保护,有效防止黑客通过恶意软件进行流量劫持。
三、加强账户和密码的保护保护账户和密码是防止网络流量劫持的基本要求。
使用强密码,包括大小写字母、数字和特殊字符,定期更换密码,避免使用相同的密码和用户名组合,可以有效防止黑客猜测密码进行流量劫持。
此外,启用多因素身份验证(例如手机验证码、指纹识别等),也可以提高账户的安全性。
四、避免使用公共Wi-Fi网络公共Wi-Fi网络是黑客进行网络流量劫持的常见环境。
在使用公共Wi-Fi网络时,黑客可以通过中间人攻击,窃取用户的信息和流量。
因此,尽量避免在公共Wi-Fi网络上进行敏感数据的传输,如银行账号、密码等。
如果必须使用公共Wi-Fi网络,应使用VPN(虚拟专用网络)进行加密和保护。
五、警惕钓鱼网站和恶意链接对于接收到的可疑邮件、短信或社交媒体消息,要保持警惕,避免点击其中的链接或附件。
钓鱼网站和恶意链接是黑客进行流量劫持和诈骗的常见手段,一旦点击,个人信息和流量就可能被劫持。
所以,要保持警觉,仔细辨别邮件和消息的真实性。
六、定期备份数据定期备份数据可以防止因网络流量劫持而导致的数据丢失。
如果遭受网络流量劫持,黑客可能会窃取、篡改或删除个人数据。
通过定期备份,可以保证数据的完整性和安全性,在遭受劫持时能够迅速恢复数据。
如何识别网络流量劫持?
在当今数字化的社会中,互联网已经成为人们生活中不可或缺的一部分。
而随着互联网的普及和应用,网络流量劫持问题也日益突出。
网络流量劫持是指黑客或恶意软件通过篡改网络数据包的方式,将用户的网络流量重定向到恶意网站或者监控用户的在线活动。
因此,对于普通用户来说,如何识别和应对网络流量劫持变得至关重要。
本文将从常见的网络流量劫持形式、识别网络流量劫持的方法以及应对网络流量劫持的措施等方面展开论述。
一、常见的网络流量劫持形式网络流量劫持可以采用多种形式进行,其中比较常见的包括DNS劫持、HTTP 劫持和SSL劫持等。
DNS劫持是指黑客篡改了DNS服务器的解析结果,将用户输入的网址指向恶意网站,使用户在浏览网页时访问到并非其本意的网站。
HTTP劫持则是指黑客通过某些手段篡改了用户的HTTP请求,将用户的流量重定向到恶意网站或者注入恶意代码。
而SSL劫持则是指黑客利用中间人攻击等手段,窃取用户的SSL加密通信内容,获取用户的敏感信息。
二、识别网络流量劫持的方法面对如此多样化的网络流量劫持形式,普通用户如何识别网络流量劫持呢?首先,要关注浏览器的安全警告。
当浏览器警告用户访问的网站存在安全问题时,用户应该立即停止访问,并仔细检查网址是否正确。
其次,注意观察网页是否有异常的跳转行为,如自动跳转到其他网站或弹出异常的广告窗口等。
此外,用户还可以通过使用可靠的安全软件来检测网络流量劫持的情况,及时发现并应对网络流量劫持。
三、应对网络流量劫持的措施一旦发现自己的网络流量遭到劫持,用户应该采取相应的措施来应对。
首先,及时更改自己的网络密码和账号信息,以免个人信息被窃取。
其次,使用VPN等加密通道来保护自己的网络通信,避免中间人攻击和SSL劫持。
此外,用户还可以选择安装一些可靠的防火墙和安全软件,加强对网络流量劫持的防范和监控。
最后,定期更新自己的操作系统和安全软件,及时修补系统漏洞,提高网络安全性。
总之,网络流量劫持是当前互联网安全面临的严峻挑战之一。
流量劫持是如何产生的
流量劫持是如何产生的汇报人:日期:•流量劫持概述•流量劫持产生的原因•流量劫持的技术手段目录•流量劫持的防范措施•流量劫持的应对策略•总结与展望01流量劫持概述流量劫持是指通过非正常手段获取或篡改网络流量数据,以达到非法获利或干扰用户正常使用网络的行为。
定义流量劫持通常涉及对网络传输数据的拦截、篡改或重定向,以实现恶意目的,如广告推广、恶意软件传播等。
概念定义与概念流量劫持可能导致用户个人信息泄露,如账号密码、交易信息等。
用户隐私泄露网络服务中断网络安全威胁流量劫持可能导致用户无法正常访问所需网站或服务,影响用户体验和网络服务质量。
流量劫持可能被用于传播恶意软件、病毒等,对网络安全构成威胁。
030201流量劫持的危害通过篡改DNS解析记录,将用户访问的网站重定向到恶意网站或广告页面。
DNS劫持通过拦截TCP连接数据包,篡改数据包内容或重定向连接,以达到非法目的。
TCP劫持通过拦截SSL加密通信数据,解密并篡改数据内容,以实现非法目的。
SSL劫持通过在正常网页中注入恶意代码或广告,干扰用户正常使用网页。
内容注入流量劫持的常见形式02流量劫持产生的原因当用户连接到不安全的网络时,攻击者可能会利用漏洞或恶意软件来截取用户的流量。
攻击者可以通过伪造DNS响应,将用户重定向到恶意网站或服务器,从而窃取用户数据或进行其他恶意行为。
网络环境因素DNS欺骗不安全的网络连接设备因素设备漏洞用户的设备可能存在漏洞或缺陷,攻击者可以利用这些漏洞来截取用户的流量。
恶意软件恶意软件可以在用户的设备上运行,并窃取用户的流量或个人信息。
人为因素攻击者可能会通过伪造合法网站或电子邮件,诱骗用户输入敏感信息或下载恶意软件,从而截取用户的流量。
内部人员泄露内部人员可能会因为各种原因泄露用户的敏感信息或流量数据,导致流量被劫持。
03流量劫持的技术手段定义DNS劫持是一种通过篡改域名解析记录(DNS记录)来将用户的正常请求重定向到恶意服务器的技术手段。
流量劫持背后存在灰色利益链,互联网行业亟待监管
流量劫持背后存在灰色利益链,互联网行业亟待监管最极客最具极客精神的新媒体近十年来,互联网风靡全球,人们对互联网的依赖程度也愈发增强。
但是,随着互联网的发展,许多问题也逐渐显现,其中,流量劫持是一个由来已久的问题。
所谓流量劫持,是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制访问某些网站。
比如,明明想要打开网站A,却莫名其妙地跳转到网站B;明明想要打开一个应用,却跳出一大堆烦人的广告;明明想要下载某一软件,下载完发现根本八竿子打不着……诸如此类都是流量劫持给用户带来的烦恼。
那么,流量到底为何成为“香饽饽”?我们的流量被劫持后是怎么被卖的?又该如何应对这一问题呢?流量相当于互联网入口,背后利益引觊觎流量劫持在互联网普及的当今并不是什么新鲜事。
但是,这一问题却总是无法彻底根除,甚至是一波未平一波又起。
那么,流量到底有什么好处,让人如此惦记呢?实际上,流量并非多数人想象中的那种概念,而是指互联网中的访问量。
简单来说,就是在网络世界中的人流量。
许多人说,有了流量就能赚钱,问题在于,为什么有企业要去买流量呢?这是因为,流量相当于一个入口。
互联网入口,就是人们在进行上网时,最常选择的途径或习惯。
入口能够决定用户的行为习惯和上网方式等等。
互联网入口在大数据时代,是具有极高价值的。
许多互联网行业的企业都对其非常看重。
举个实际的例子,目前手机上有许多赚钱的应用,基本模式就是通过做任务下载某应用来获得佣金。
这其实就是厂商的一种推广方式。
之所以如此,就是因为访问量能为其带来巨大利益。
假设一个应用或网站的某界面每天的UV(独立访客)数量为20万,按照保守估计,其中5%的人去点击并下载被推荐的应用。
那么厂商单凭这一个推荐位就能净赚20万元左右。
巨大的利益就是厂商愿意花钱购买流量的原因,而许多网站也在通过将流量卖给厂商的方式实现盈利。
比如,通过hao123网站访问亚马逊,那么亚马逊就可以通过这个入口计算访问量,然后根据访问量付给hao123佣金。
如何识别网络流量劫持?(Ⅱ)
在当今数字化的时代,互联网已经成为人们生活中不可或缺的一部分。
然而,随之而来的网络流量劫持问题也愈发严重,给人们的网络安全带来了威胁。
因此,识别网络流量劫持成为至关重要的一环。
本文将从不同的角度来讨论如何识别网络流量劫持,以帮助人们更好地保护自己的网络安全。
首先,我们需要了解网络流量劫持是什么。
网络流量劫持是指第三方通过各种手段篡改网络数据包,以获取用户的隐私信息或者进行其他非法活动。
劫持者可以通过DNS劫持、HTTP劫持、SSL劫持等方式来实施网络流量劫持。
因此,识别网络流量劫持需要从多个方面进行分析和判断。
其次,我们可以通过观察网页加载的速度和内容来识别网络流量劫持。
如果在访问一个网页时,发现加载速度异常缓慢或者页面内容不完整,很可能是因为网络流量被劫持了。
此时,我们可以通过使用VPN等工具来尝试重新访问网页,以确认是否存在网络流量劫持的情况。
另外,我们还可以通过观察浏览器的安全提示来判断是否存在网络流量劫持。
现代浏览器通常会对网站的安全性进行评估,并在存在风险时给出相应的提示。
如果在访问一个网站时,浏览器提示存在安全风险或证书不受信任,那么很有可能是因为网络流量被劫持了。
此外,我们还可以通过检查网络流量的来源和目的地来识别网络流量劫持。
在使用网络时,我们可以通过网络监控工具来查看数据包的源IP地址和目的IP地址,以确定是否存在异常的流量劫持行为。
如果发现数据包的源地址和目的地址不正常,就需要警惕可能存在的网络流量劫持。
最后,我们还可以通过安装防火墙和安全软件来帮助识别网络流量劫持。
现代的防火墙和安全软件通常能够检测和阻止网络流量劫持行为,提供实时的网络安全保护。
因此,及时安装和更新防火墙和安全软件也是识别网络流量劫持的重要手段。
总的来说,识别网络流量劫持需要我们从多个角度进行观察和分析。
通过观察网页加载速度和内容、浏览器的安全提示、网络流量的来源和目的地,以及安装防火墙和安全软件等方式,我们可以更好地识别并防范网络流量劫持的危害。
“流量劫持类”不正当竞争法律问题探析
“流量劫持类”不正当竞争法律问题探析随着互联网的迅速发展,人们对于网络的依赖程度逐渐加深。
然而,这也给一些违法分子提供了可乘之机。
近年来,网络攻击中的“流量劫持”问题越来越普遍,成为了互联网领域中的一项重要的不正当竞争行为。
本文将对此类问题进行探析,从法律的角度分析流量劫持问题产生的原因、危害以及如何从法律上予以打击。
一、流量劫持的基本概念及分类流量劫持通常指的是黑客通过各种手段,从合法网络流量中搜集用户个人信息和相关数据,用于非法盈利或其他违法活动的一种行为。
从根据不同形式和对象,流量劫持可以分为以下几种:(一)HTTP流量劫持这种流量劫持通常利用网络欺诈手段,在被攻击的网页上插入广告、恶意软件等,或者重定向到其他网页,甚至盗取用户的cookie等信息,用于非法获利。
(二)DNS流量劫持这种流量劫持一般指黑客通过篡改DNS解析结果,将用户的浏览网站请求重定向到恶意网站或者架设的钓鱼网站上,让用户输入密码、银行卡信息等个人敏感信息,可以进行诈骗和非法获利。
(三)ARP流量劫持ARP流量劫持通常是指攻击者在局域网内通过ARP欺骗手段,使受害者主机的数据包流经攻击者的主机,以此实现数据的拦截、截获、窃取、篡改等目的。
以上三种流量劫持是比较常见的违法行为,因此在实践中需要引起重视。
二、流量劫持的危害流量劫持违反了网络安全管理的相关法规和规定,在违法所得的背后,还寄生着巨大的安全风险。
(一)威胁用户个人隐私流量劫持使黑客能够获得用户的个人敏感信息,包括账号、密码、交易记录等,时间越长,留下的隐私泄露就越多,带来的损失也就越大。
(二)破坏公平竞争在竞争过程中,有时候品牌、资金等因素无法决定胜负,但是由于流量劫持,黑客可以操控搜索结果和页面展示顺序,从而影响用户的决策,降低正规商家的销售量,扰乱市场秩序。
(三)经济损失流量劫持一般与广告欺诈等活动相联系,攻击者可通过恶意链接和弹窗广告等方式,迫使用户点击,并从中获取非法收益。
如果流量劫持是一种罪
虽然用 户可以 向三 大运 营商 的主管 部 门工业 和信息产 业部
投诉 ,但 是 由于强制插 入广告 成了运营商 的普 遍做法 ,实际上
已经 成了合法业 务了 。有些运 营商先压低价 格争夺 用户 ,然后 公然劫持流量 ,赚取广告费 ,增加业务收入 。
度程 度 。可是 ,这种 强奸用 户的行为从未被 定义为犯 罪 ,作 恶者甚 至不会受到 任何惩罚 。没有 任何一个政府 部 门处理 这种
事件 ,一旦遇到浏 览器被窜 改 ,用户只能 自助救济 。对那 些不 懂 电脑 的人 , 这几乎是一场噩梦 , 最后被迫 重装系统 的大有人 在。 你可能 会想 ,只要软 件厂商 ( 我 说的是微软 )推 出更安全
不具有 普遍意义 ,判决也不一 定能被 推广 ,但 流量劫持 第一
次被认定是犯罪 ,毕竟迈出了司法的第一步。
真正解决这个 问题 ,可 能还是要通 过技术 。如果 服 务器 与
浏览器之 间的通信全 部经过加 密 ,运营商就 无法解密 ,也就 不
一
理论上无法分辨哪些是原始 内容 ,哪些是运营商偷加的 内容 。 为什 么本 文开头提 到的那两个 犯罪嫌疑 人 ,能在短 时间 内 赚取 上百万元 利润?原因就是他 们是重庆 电信 的 员工 ,能 够直 的上网流量就会经 过他们做 过手脚的服 务器 ,其 中的一部分流 量就会被 劫持 ,为他 们创造 利润 ,中招概率 为百分百 。
l l j 00 0 0 文化 I £ ; I l l 了 l 捧
0 。 i 0 j ≯ 0
孽 鼍
鬻 簦 ; 擎 譬 ; 簟 警 ≮ : j
≯
?
流量劫持:内涵重释及刑法规制思考
摘要流量劫持是指以牟利为目的,通过修改互联网用户的计算机信息系统,使用户在输入A域名时跳转到B域名,从而使流量被迫流向指定网站的现象。
流量劫持通常以篡改浏览器网关地址、诱导用户进入错误目标界面等类型呈现。
之前的司法实践倾向将流量劫持认定为不正当竞争行为,最高法发布的流量劫持有罪判决的指导性案例具有鲜明的先例效应。
本文通过分析因流量劫持入刑及民事侵权的司法判例,得出“刚性”流量劫持应予以刑法规制。
流量劫持因兼具非法控制和破坏行为的属性,导致出现司法竞合问题,在流量劫持刑法规制的应然路径方面,应以破坏计算机信息系统罪予以规制。
网络黑灰产已成为互联网领域的顽疾。
2019年3月南都大数据研究院、南都新业态法治研究中心联合阿里巴巴集团安全部共同发布《2018网络黑灰产治理研究报告》,其中关于互联网黑灰产业及其从业人员的载述如下:“黑灰产业从业人员从2015年开始,就已经超过400000人。
模型显示,2017年中国网络安全产业规模仅为450多亿元,而黑灰产业早已超过1000亿元规模。
”《2018年全球风险报告》中提到:“网络攻击已成为仅次于极端天气和自然灾害之外全球性第三大威胁。
”受经济利益的驱动,流量攻击、数据窃取作为黑客活动的典型代表,呈快速增长趋势,并形成黑色地下产业链,严重危害网络用户和企业的利益。
作为黑产链路之首的流量劫持更是黑灰产业链的排头兵。
因此,“打造一个天朗气清的网络空间”不仅是数字经济战略的需要,同时也是主旋律的迫切要求。
一、流量劫持的定义及类型(一) 流量及流量劫持的定义本文提及的流量特指互联网概念中的网站流量。
根据2011年中国工业和信息化部《互联网服务统计指标第1部分:流量基本指标》[注1]的规定,流量是应用服务商用来统计用户行为的方式,基本指标包括独立IP地址数、独立访客数、网站的访问量、页面浏览量、软件下载量、访问次数和访问时长。
作为一种不可形状的工具,流量在网络中存在价值。
互联网教父凯文·凯利在2014年发表的未来商业预言中就曾提及“所有生意都是流量数据生意”、“目光聚焦之处,金钱必将追随”,昭示未来商业活动中流量的重要性,即“用户=流量=金钱”的关系。
“流量劫持”一种新型网络违法犯罪活动
第34卷第2期2021年3月濮阳职业技术学院学报Journal of Puyang Vocational and Technical CollegeVol.34 No.2Mar.2021"流量劫持#: 一种新型网络违法犯罪活动戴飞(中共中央党校研究生院,北京100091)摘要:“8量劫持”是伴随着网络技术的进步而产生的一种新型网络违法犯OP 动,一般可分为"绑架式”8量劫持和“诱[式”8量劫持两种形式。
“8量劫持”产生了严重的社会危害,损害了被劫持网站和网络用户的合法权益,并且已经开始有产业 化的趋势%有效治理“8量劫持”,应当进一步完善相关法律,保护被侵害用户的合法权益,加强对不法行为的管理和打击力度。
关键词:8量;8量劫持;网络秩序;网络违法犯罪中图分类号:D924.3文献标识码:A 随着网络技术的进步和上网设备的普及,人与 人、人与社会之间的交流和沟通更为容易、更加紧密,生活中的各种点滴趣事都可以通过网络来进行分享,参与各类社会活动的物质成本和时间成本都 大幅度地得到了降低%网络在越来越多人的生活中 已经成为了不可的重要组成分,但随着互联网时的到来, 会在 产生改变甚至颠覆有 的生事物,各类 网络生事物的%在各种新型网络 :犯罪活动中,“流” 为常见的一种形式%一、“流量劫持”的概念界定“流 ” ,照其字面语义,其由流和成%“流”的概念,流量的含义。
流量, 网上 的%在一定意义上来 , 流网 行为的着 点,网的质属性, “流”活 的中心D 1㈣。
网 通过从网络 上网服来 得流 , 通过 的上网设 、流 , 以在网络上进行各类的需求%网站或者网络 通过使互联网户访问网站、下载软件等方式来增加其 流, 流量在各类网站统中的表现就点击和访问量%对于 ,含不于一般刑 上的劫持行为,并非种单纯的物理强制、胁迫行为。
“流”中劫持的一般表现互联网用户在输文章编号:1672-9161 (2021 )02-0053-02入关名后,跳转到输入名请求访问目标下载软件的过程中,被强行以弹窗、警告、镶嵌覆盖各诱导、阻碍或变更户请求的 目标 软件, 强制互 网 户访问行为人 的网站下载的 , 造成互联网户流被迫流向 行为人 网站应用,并最终在减少他人商业 会的基础上增加自己的出场 率叫行为人 流 的目的一般有 种%不法分子通过修改互网户的 网络信息系统设置,户在输入 关 名时跳转到被名强制网络 户访问行为人 的网 站,造成户流量被迫流向 网页,得流量并中牟利。
如何识别网络流量劫持?(四)
在当今信息时代,网络已经成为了我们日常生活中不可或缺的一部分。
而在网络使用过程中,我们可能会遇到一些不正常的网络流量劫持行为,这些劫持行为可能会导致个人信息泄露、网络安全风险等问题。
因此,如何正确识别网络流量劫持,成为了我们需要了解的重要知识。
一、什么是网络流量劫持?网络流量劫持是指黑客或者恶意程序通过某种手段,修改或篡改用户的网络流量,使用户的网络流量被重定向到非法的或者欺诈性的网站或者服务器。
这种行为可能导致用户信息泄露、个人隐私被盗取、账号被盗等严重后果,因此需要引起我们的高度重视。
二、如何识别网络流量劫持?1. 观察网络连接是否正常在使用网络的过程中,如果发现自己经常出现网络连接异常、访问速度变慢、网页内容异常等情况,就需要警惕网络是否受到了劫持。
此时可以尝试使用其他网络环境或者设备进行连接,观察是否出现同样的问题,以判断是否是个人网络受到了劫持。
2. 检查网络流量是否被篡改通过网络抓包工具或者安全监测软件,可以检查自己的网络流量是否被篡改。
正常的网络流量应该是经过加密传输的,如果发现自己的网络流量出现明显的篡改迹象,就需要警惕可能存在网络流量劫持的风险。
3. 关注网站证书的有效性在访问网站的过程中,浏览器会验证网站的证书有效性,如果发现浏览器出现了网站证书不受信任的提示,就需要留意可能存在的网络流量劫持问题。
此时不应该继续访问网站,而是寻找其他可信赖的访问途径。
4. 注意网络异常行为在日常使用网络的过程中,如果发现自己的账号被盗取、个人信息被泄露、恶意软件的安装等异常行为,就需要警惕自己的网络流量是否受到了劫持。
此时需要及时进行安全检查和修复,以避免进一步的损失。
三、如何防范网络流量劫持?1. 使用可信赖的网络设备和软件在使用网络设备和软件的过程中,应该选择正规渠道购买并且及时更新软件版本,避免使用来路不明的设备和软件,以减少网络流量劫持的风险。
2. 加强网络安全意识作为网络使用者,我们需要不断提高自己的网络安全意识,学习如何正确使用网络,如何防范网络安全风险,以及如何应对网络流量劫持等问题。
漫谈流量劫持
漫谈流量劫持一、本地劫持在鼠标点击的一刹那,流量在用户系统中流过层层节点,在路由的指引下奔向远程服务器。
这段路程中短兵相接的战斗往往是最激烈的,在所有流量可能路过的节点往往都埋伏着劫持者,流量劫持的手段也层出不穷,从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入、浏览器插件劫持、http代理过滤、内核数据包劫持、bootkit等等不断花样翻新。
或许从开机的一瞬间,流量劫持的故事就已经开始。
1.道貌岸然的流氓软件“网址导航”堪称国内互联网最独特的一道风景线,从hao123开始发扬光大,各大导航站开始成为互联网流量最主要的一个入口点,伴随着的是围绕导航主页链接的小尾巴(推广ID),展开的一场场惊心动魄的攻防狙击战。
一方面国内安全软件对传统IE浏览器的主页防护越来越严密,另一方面用户体验更好的第三方浏览器开始占据主流地位,国内的流氓木马为了谋求导航量也开始“另辟蹊径”。
下面讲到的案例是我们曾经捕获到的一批导航主页劫持样本,历史活跃期最早可以追溯到2014年,主要通过多类流氓软件捆绑传播,其劫持功能模块通过联网更新获取,经过多层的内存解密后再动态加载。
其中的主页劫持插件模块通过修改浏览器配置文件实现主页篡改,对国内外的chrome、火狐、safari、傲游、qq、360、搜狗等20余款主流浏览器做到了全部覆盖。
实现这些功能显然需要对这批浏览器的配置文件格式和加密算法做逆向分析,在样本分析过程中我们甚至发现其利用某漏洞绕过了其中2款浏览器的主页保护功能,流氓作者可谓非常“走心”,可惜是剑走偏锋。
[1] 某软件下拉加载主页劫持插件上图就是我们在其中一款软件中抓取到的主页劫持模块文件和更新数据包,可能你对数据包里这个域名不是很熟悉,但是提到“音速启动”这款软件相信安全圈内很多人都会有所了解,当年各大安全论坛的工具包基本上都是用它来管理配置的,伴随了很多像本文作者这样的三流小黑客的学习成长,所以分析这个样本过程中还是有很多感触的,当然这些木马劫持行为可能和原作者没有太大关系,听说这款软件在停止更新几年后卖给了上海某科技公司,其旗下多款软件产品都曾被发现过流氓劫持行为,感兴趣的读者可以自行百度,这里不再进行更多的披露。
流量劫持原理
流量劫持原理流量劫持是指黑客利用特定的技术手段,获取或修改网络用户的数据流量的过程。
实质上,流量劫持是一种网络攻击行为,通过在网络通信过程中拦截、修改或重定向数据流量,来窃取用户的敏感信息或实施其他恶意行为。
流量劫持的原理可以简化为以下几个步骤:1. 侦听网络流量:黑客通过网络侦听工具(如数据包嗅探器)截取目标用户与服务器之间的信息传输。
2. ARP欺骗:黑客通过ARP(地址解析协议)欺骗技术,将目标用户的IP地址与黑客自己的MAC地址进行绑定,使目标用户的网络流量先经过黑客的计算机。
3. 中间人攻击:黑客将自己的计算机配置为网络中的中间人,同时将目标用户与服务器之间的数据流量重定向到自己的计算机。
黑客可以在数据传输过程中进行修改、删除或篡改数据,以实施网络钓鱼、密码窃取等恶意行为。
4. 注入恶意内容:黑客可以向目标用户的数据流中注入恶意代码、广告或恶意链接,诱导用户点击链接或下载文件,从而达到攻击的目的。
流量劫持可以发生在任何网络层级,包括物理层、链路层、网络层和应用层。
黑客可以通过各种方式进行流量劫持,如ARP欺骗、DNS劫持、HTTP劫持等。
同时,流量劫持也可能发生在无线网络中,通过截取无线信号来获取用户的网络流量。
为了防范流量劫持,用户可以采取以下措施:1. 使用可信赖的网络连接:尽量避免使用公共Wi-Fi等不安全的网络连接,以减少流量劫持的风险。
2. 使用加密的通信协议:使用HTTPS等加密通信协议,可以增加传输数据的安全性,使劫持者难以篡改或获取数据。
3. 安装防火墙和安全软件:及时更新自己的操作系统、防火墙和安全软件,以应对已知的流量劫持攻击。
4. 提高安全意识:注意不访问或点击可疑的链接,不轻易下载附件或执行来自未知来源的文件,避免成为流量劫持攻击的受害者。
流量劫持原理
流量劫持原理流量劫持是指网络攻击者通过各种手段,将用户原本要访问的网站重定向到其他恶意网站或者广告页面,从而获取利益或者窃取用户信息的一种网络攻击行为。
流量劫持的原理主要包括DNS劫持、HTTP劫持和广告劫持等多种方式。
首先,我们来看一下DNS劫持。
DNS(Domain Name System)是域名解析系统,它将域名解析为IP地址,使用户能够通过域名访问网站。
攻击者通过篡改DNS服务器的解析结果,将用户输入的合法网站域名解析到恶意网站的IP地址上,从而实现流量劫持。
用户在访问原本要访问的网站时,实际上被重定向到了攻击者控制的恶意网站,造成用户信息泄露或者经济损失。
其次,HTTP劫持也是流量劫持的一种常见方式。
HTTP劫持是指攻击者通过篡改HTTP协议的报文或者利用中间人攻击的方式,将用户原本要访问的网页内容替换为恶意内容,或者在合法网页中插入恶意代码。
当用户访问被劫持的网页时,就会受到攻击者的控制,可能导致信息泄露、恶意软件下载等安全问题。
此外,广告劫持也是流量劫持的一种常见形式。
攻击者通过植入恶意广告代码或者篡改广告链接的方式,将用户原本要点击的广告链接重定向到恶意网站或者欺诈网页上。
这种方式不仅会损害用户的利益,还会给合法广告主带来经济损失,因此也是一种严重的网络攻击行为。
针对流量劫持,我们可以采取一些防范措施来保护自己的网络安全。
首先,用户可以使用可靠的DNS解析服务提供商,避免受到DNS劫持的影响。
其次,网站管理员可以采用HTTPS协议来加密网站流量,防止中间人攻击和HTTP劫持。
此外,用户在访问网页时,也要注意不随意点击不明链接和广告,以免受到广告劫持的影响。
总的来说,流量劫持是一种严重的网络安全威胁,它可能导致用户信息泄露、经济损失甚至恶意软件感染。
因此,我们需要加强对流量劫持的认识,提高网络安全意识,采取有效的防范措施来保护自己的网络安全。
同时,也需要加强相关法律法规的制定和执行,打击网络攻击行为,维护网络安全秩序。
流量劫持的刑事定性研究
流量劫持的刑事定性研究作者:叶子薇来源:《经济研究导刊》2021年第28期摘要:对于流量劫持行为的刑事定性,目前学界和司法实务中都存在争议。
流量劫持可分为硬性流量劫持和软性流量劫持。
软性流量劫持通常采用诱导的方式,对计算机信息系统安全以及用户操作影响较小,无须以刑事手段加以规制。
而硬性流量劫持具有强制性,影响计算机信息的正常运行并对计算机信息系统的安全造成较大威胁,应以刑法加以规制。
在硬性流量劫持中,以计算机信息系统为对象和以计算机信息系统为媒介的行为应当分别认定,二者侵害的法益以及犯罪目的不同,应当分别适用破坏计算机信息系统罪和传统犯罪罪名。
关键词:流量劫持;软性流量劫持;硬性流量劫持;破坏计算机信息系统罪;非法控制计算机信息系统罪中图分类号:D925.2 文献标志码:A 文章编号:1673-291X(2021)28-0154-03引言互联网技术的发展一方面极大地改变了我们的生活,另一方面也催生了新型的网络犯罪,流量劫持就是其中之一。
流量劫持是指不法分子利用各种木马插件、恶意程序不断弹出新窗口,修改浏览器设置,锁定网站主页,从而导致被劫持网站流量损失的情形。
流量劫持行为最初被认定为不正当竞争行为,随着流量劫持行为的社会危害性日渐严重,司法实践开始转向刑事应对。
最高人民法院公布的第102号指导性案例表明了对流量劫持行为适用刑法规制的态度。
然而,流量劫持作为新型网络犯罪,其刑事定性存在诸多问题。
如何解释相关刑法条文以涵盖流量劫持行为,以及如何对不同类型的流量劫持行为定性都仍需进一步探究。
一、问题的提出:流量劫持刑事定性的现状与困境2015年的“付某、黄某破坏计算机信息系统案”被认为是我国首例对流量劫持做出刑事判决的案件。
从2015年首次对流量劫持行为定罪至今,流量劫持行为的刑事定性较为混乱。
在2015年的“付某、黄某破坏计算机信息系统案”中,被告人租赁多台服务器,使用恶意代码修改互联网用户路由器的DNS设置,使用户在登录网站时被迫跳转至其设置的指定网站,并将获取的流量出售给其他公司获利。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
漫谈流量劫持一、本地劫持在鼠标点击的一刹那,流量在用户系统中流过层层节点,在路由的指引下奔向远程服务器。
这段路程中短兵相接的战斗往往是最激烈的,在所有流量可能路过的节点往往都埋伏着劫持者,流量劫持的手段也层出不穷,从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入、浏览器插件劫持、http代理过滤、内核数据包劫持、bootkit等等不断花样翻新。
或许从开机的一瞬间,流量劫持的故事就已经开始。
1.道貌岸然的流氓软件“网址导航”堪称国内互联网最独特的一道风景线,从hao123开始发扬光大,各大导航站开始成为互联网流量最主要的一个入口点,伴随着的是围绕导航主页链接的小尾巴(推广ID),展开的一场场惊心动魄的攻防狙击战。
一方面国内安全软件对传统IE浏览器的主页防护越来越严密,另一方面用户体验更好的第三方浏览器开始占据主流地位,国内的流氓木马为了谋求导航量也开始“另辟蹊径”。
下面讲到的案例是我们曾经捕获到的一批导航主页劫持样本,历史活跃期最早可以追溯到2014年,主要通过多类流氓软件捆绑传播,其劫持功能模块通过联网更新获取,经过多层的内存解密后再动态加载。
其中的主页劫持插件模块通过修改浏览器配置文件实现主页篡改,对国内外的chrome、火狐、safari、傲游、qq、360、搜狗等20余款主流浏览器做到了全部覆盖。
实现这些功能显然需要对这批浏览器的配置文件格式和加密算法做逆向分析,在样本分析过程中我们甚至发现其利用某漏洞绕过了其中2款浏览器的主页保护功能,流氓作者可谓非常“走心”,可惜是剑走偏锋。
[1] 某软件下拉加载主页劫持插件上图就是我们在其中一款软件中抓取到的主页劫持模块文件和更新数据包,可能你对数据包里这个域名不是很熟悉,但是提到“音速启动”这款软件相信安全圈内很多人都会有所了解,当年各大安全论坛的工具包基本上都是用它来管理配置的,伴随了很多像本文作者这样的三流小黑客的学习成长,所以分析这个样本过程中还是有很多感触的,当然这些木马劫持行为可能和原作者没有太大关系,听说这款软件在停止更新几年后卖给了上海某科技公司,其旗下多款软件产品都曾被发现过流氓劫持行为,感兴趣的读者可以自行百度,这里不再进行更多的披露。
正如前面的案例,一部分曾经的老牌软件开始慢慢变质,离用户渐行渐远;另一方面,随着最近几年国内安全环境的转变,之前流行的盗号、下载者、远控等传统木马日渐式微,另外一大批披着正规软件外衣的流氓也开始兴起,他们的运作方式有以下几个特点:1.冒充正规软件,但实际功能单一简陋,有些甚至是空壳软件,常见的诸如某某日历、天气预报、色播、输入法等五花八门的伪装形式,企图借助这些正常功能的外衣逃避安全软件的拦截,实现常驻用户系统的目的。
2.背后行为与木马病毒无异,其目的还是为了获取推广流量,如主页锁定,网页劫持、广告弹窗、流量暗刷、静默安装等等。
而且其中很大一部分流氓软件的恶意模块和配置都通过云端进行下拉控制,可以做到分时段、分地区、分场景进行投放触发。
[2] 某流氓软件的云端控制后台3.变种速度比较快,屡杀不止,被安全软件拦截清理后很快就会更换数字签名,甚至换个软件外壳包装后卷土重来。
这些数字签名注册的企业信息很多都是流氓软件作者从其他渠道专门收购的。
[3]某流氓软件1个月内多次更换数字签名证书逃避安全软件查杀下面可以通过几个典型案例了解下这些流氓软件进行流量劫持的技术手法:1)通过浏览器插件进行流量劫持的QTV系列变种,该样本针对IE浏览器通过BH O插件在用户网页中注入JS脚本,针对chrome内核的浏览器利用漏洞绕过了部分浏览器插件的正常安装步骤,通过篡改配置文件添加浏览器插件实现动态劫持。
[4]被静默安装到浏览器中的插件模块,通过JS注入劫持网页通过注入JS脚本来劫持用户网页浏览的技术优点也很明显,一方面注入的云端JS 脚本比较灵活,可以随时在云端控制修改劫持行为,另一方面对于普通用户来说非常隐蔽,难以察觉。
被注入用户网页的JS脚本的对网页浏览中大部分的推广流量都进行了劫持,如下图:[5] 在网页中注入JS劫持推广流量2)下面这个“高清影视流氓病毒”案例是去年曾深入跟踪的一个流氓病毒传播团伙,该类样本主要伪装成播放器类的流氓软件进行传播,技术特点如下图所示,大部分劫持模块都是驱动文件,通过动态内存加载到系统内核,实现浏览器劫持、静默推广等病毒行为。
[6] “高清影视”木马劫持流程简图从木马后台服务器取证的文件来看,该样本短期内传播量非常大,单日高峰达到2 0w+,一周累计感染用户超过100万,安装统计数据库每天的备份文件都超过1G。
[7] “高清影视”木马后台服务器取证2.持续活跃的广告弹窗挂马提到流量劫持,不得不说到近2年时间内保持高度活跃的广告弹窗挂马攻击案例,原本的广告流量被注入了网页木马,以广告弹窗等形式在客户端触发,这属于一种变相的流量劫持,更确切的说应该称之为“流量污染”或“流量投毒”,这里我们将其归类为本地劫持。
近期挂马利用的漏洞多为IE神洞(cve-2014-6332)和HackingTeam泄漏的多个Fl ash漏洞。
通过网页挂马,流量劫持者将非常廉价的广告弹窗流量转化成了更高价格的安装量,常见的CPM、CPV等形式的广告流量每1000用户展示只有几元钱的成本,假设网页挂马的成功率有5%,这意味着劫持者获取到20个用户的安装量,平均每个用户静默安装5款软件,劫持者的收益保守估计有50元,那么“广告流量投毒”的利润率就近10倍。
这应该就是近两年网页挂马事件频发背后的最大源动力。
[8] 网页木马经常使用的IE神洞(CVE-2014-6332)[9] 网页木马利用IE浏览器的res协议检测国内主流安全软件这些广告流量大多来自于软件弹窗、色情站点、垃圾站群、运营商劫持量等等,其中甚至不乏很多知名软件的广告流量,从我们的监测数据中发现包括酷狗音乐、搜狐影音、电信管家、暴风影音、百度影音、皮皮影音等多家知名软件厂商的广告流量被曾被劫持挂马。
正是因为如此巨大的流量基数,所以一旦发生挂马事件,受到安全威胁的用户数量都是非常巨大的。
[10] 对利用客户端弹窗挂马的某病毒服务器取证发现的flash漏洞exp据了解很多软件厂商对自身广告流量的管理监控都存在漏洞,有些甚至经过了多层代理分包,又缺乏统一有力的安全审核机制,导致被插入网页木马的“染毒流量”被大批推送到客户端,最终导致用户系统感染病毒。
在样本溯源过程中,我们甚至在某知名音乐软件中发现一个专门用于暗刷广告流量的子模块。
用户越多责任越大,且行且珍惜。
[11] 2015年某次挂马事件涉及的弹窗客户端进程列表[12] 对2015年度最活跃的某挂马服务器的数据库取证(高峰期每小时5k+的安装量)二、网络劫持流量劫持的故事继续发展,当一个网络数据包成功躲开了本地主机系统上的层层围剿,离开用户主机穿行于各个路由网关节点,又开启了一段新的冒险之旅。
在用户主机和远程服务器之间的道路同样是埋伏重重,数据包可能被指引向错误的终点(D NS劫持),也可能被半路冒名顶替(302重定向),或者直接被篡改(http注入)。
1.运营商劫持提起网络劫持往往第一个想起的就是运营商劫持,可能每一个上网的用户或多或少都曾经遇到过,电脑系统或手机用安全软件扫描没有任何异常,但是打开正常网页总是莫名其妙弹出广告或者跳转到其他网站。
对普通用户来说这样的行为可以说深恶痛绝,企业和正规网站同样也深受其害,正常业务和企业形象都会受到影响,在15年年底,腾讯、小米、微博等6家互联网公司共同发表了一篇抵制运营商流量劫持的联合声明。
在我们日常的安全运营过程中也经常接到疑似运营商劫持的用户反馈,下面讲述一个非常典型的http劫持跳转案例,用户反馈打开猎豹浏览器首页点击下载就会弹出广告页面,经过我们的检测发现用户的网络被运营商劫持,打开网页的数据包中被注入了广告劫持代码。
类似的案例还有很多,除了明面上的广告弹窗,还有后台静默的流量暗刷。
对于普通用户来说,可能只有运营商客服投诉或工信部投诉才能让这些劫持行为稍有收敛。
[13] 用户打开网页的数据包被注入广告代码[14] 用户任意点击网页触发广告弹窗跳转到“6间房”推广页面这个案例劫持代码中的域名“”归属于推广广告联盟,在安全论坛和微博已有多次用户反馈,其官网号称日均PV达到2.5亿。
其实运营商劫持流量的买卖其实已是圈内半公开的秘密,结合对用户上网习惯的分析,可以实现对不同地区、不同群体用户的精准定制化广告推送,感兴趣的读者可以自行搜索相关的Q Q群。
[15] 公开化的运营商劫持流量买卖缺乏安全保护的dns协议和明文传输的http流量非常容易遭到劫持,而运营商占据网络流量的必经之路,在广告劫持技术上具有先天优势,比如常见的分光镜像技术,对于普通用户和厂商来说对抗成本相对较高,另一方面国内主流的搜索引擎、导航站点、电商网站都已经开始积极拥抱更加安全的https协议,这无疑是非常可喜的转变。
[16] 常用于运营商流量劫持的分光镜像技术wooyun平台上也曾多次曝光运营商流量劫持的案例,例如曾经被用户举报的案例“下载小米商城被劫持到UC浏览器APP”,感谢万能的白帽子深入某运营商劫持平台系统为我们揭秘内幕。
[17] 被曝光的某运营商apk下载分发劫持的管理后台以上种种,不得不让人想起“打劫圈”最富盛名的一句浑语,“此山是我开,此树是我栽,要想过此路,留下买路财”,“买网络送广告”已经成为网络运营商的标准套餐。
这些劫持流量的买卖显然不仅仅是所谓的“个别内部员工违规操作”,还是那句话,用户越多责任越大,且行且珍惜。
2.CDN缓存污染CDN加速技术本质上是一种良性的DNS劫持,通过DNS引导将用户对服务器上的js、图片等不经常变化的静态资源的请求引导到最近的服务器上,从而加速网络访问。
加速访问的良好用户体验使CDN加速被各大网站广泛使用,其中蕴含的惊人流量自然也成为流量劫持者的目标。
[18] 用户打开正常网页后跳转到“色播”诱导页面去年我们曾多次接到用户反馈使用手机浏览器打开网页时经常被跳转到色情推广页面,经过抓包分析,发现是由于百度网盟CDN缓存服务器中的关键JS文件被污染注入广告代码,劫持代码根据user-agent头判断流量来源后针对PC、android、i so等平台进行分流弹窗,诱导用户安装“伪色播”病毒APP。
[19] 抓包分析显示百度网盟的公共JS文件被注入广告代码[20] 劫持代码根据访问来源平台的不同进行分流,推广“伪色播”病毒app 百度网盟作为全国最大的广告联盟之一,每天的广告流量PV是都是以亿为单位的,其CDN缓存遭遇劫持产生的影响将非常广泛。
通过分析我们确认全国只有个别地区的网络会遭遇此类劫持,我们也在第一时间将这个情况反馈给了友商方面,但造成缓存被劫持的原因没有得到最终反馈,是运营商中间劫持还是个别缓存服务器被入侵导致还不得而知,但是这个案例给我们的CDN服务的安全防护再一次给我们敲响警钟。