日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

無處不在的劫持

成都創(chuàng)新互聯(lián)公司作為成都網(wǎng)站建設(shè)公司，專注網(wǎng)站建設(shè)公司、網(wǎng)站設(shè)計(jì)，有關(guān)企業(yè)網(wǎng)站制作方案、改版、費(fèi)用等問題，行業(yè)涉及加固等多個(gè)領(lǐng)域，已為上千家企業(yè)服務(wù)，得到了客戶的尊重與認(rèn)可。

利用餓了么2塊錢的補(bǔ)差價(jià)就能劃走用戶支付寶的2000元、利用訂購的機(jī)票信息，就能獲取到用戶信任，騙取財(cái)產(chǎn)、總是被跳轉(zhuǎn)到一些自己不想訪問的頁面上、為什么總有那么多自己跳出來的廣告?為什么一個(gè)正常的鏈接點(diǎn)進(jìn)去之后會出現(xiàn)下載界面?我們的數(shù)據(jù)信息怎么就這么不安全?

對于普通用戶來說，你的請求數(shù)據(jù)發(fā)出去以后，會經(jīng)過哪里，最終去到哪里，怎么處理響應(yīng)，這后面的一切都是黑洞。而對于想利用你的信息做壞事的人來說，每一個(gè)環(huán)節(jié)都是他們的機(jī)會。

先不說壞人通過爬蟲、撞庫等手段獲取用戶信息。最直接的我們數(shù)據(jù)接入的運(yùn)營商都可能會對我們的數(shù)據(jù)分析監(jiān)控。比如敏感信息信息的監(jiān)控、涉黃涉恐信息的過濾，而我們能夠感受到影響的可能就是網(wǎng)絡(luò)劫持了。那么運(yùn)營商為什么要做網(wǎng)絡(luò)劫持，通過什么手段來做劫持，網(wǎng)絡(luò)劫持的利弊在哪呢?

劫持的產(chǎn)生

近年來隨著網(wǎng)上購物、直播、物聯(lián)網(wǎng)、共享經(jīng)濟(jì)、人工智能等不斷深入我們的生活，互聯(lián)網(wǎng)行業(yè)取得飛速的發(fā)展。根據(jù)***的第40期《中國互聯(lián)網(wǎng)發(fā)展統(tǒng)計(jì)報(bào)告》顯示，截止2017年6月，中國互聯(lián)網(wǎng)用戶已經(jīng)達(dá)到7.51億，占全球網(wǎng)民的1/5。隨之而來的是網(wǎng)絡(luò)流量的不斷增加，目前中國的國際網(wǎng)絡(luò)出口的帶寬已經(jīng)高達(dá)8T，而國內(nèi)用戶產(chǎn)生的網(wǎng)絡(luò)流量要遠(yuǎn)遠(yuǎn)大于這個(gè)數(shù)字。與之相對應(yīng)的是中國復(fù)雜的網(wǎng)絡(luò)環(huán)境。除了電信、聯(lián)通、移動是比較大的網(wǎng)絡(luò)接入廠商，此外包含長城寬帶、鵬博士、教育網(wǎng)、科技網(wǎng)、廣電等等不少于20多家的小運(yùn)營商。而且各個(gè)省市是相互獨(dú)立運(yùn)營。這就會導(dǎo)致網(wǎng)絡(luò)出現(xiàn)跨網(wǎng)、跨運(yùn)營商的情況會特別多，基本上很難避免。而各個(gè)運(yùn)營商之間的出口帶寬不盡相同，這很能是成為網(wǎng)絡(luò)高峰的瓶頸。同時(shí)這種大量跨網(wǎng)訪問的流量，在運(yùn)營商之間會產(chǎn)生一筆很大的結(jié)算費(fèi)用。也就是說運(yùn)營商之間的互通是需要收費(fèi)的。

作為運(yùn)營商，面對這么大的帶寬流量。該如何保障用戶體驗(yàn)，減小自身成本呢。于是，他們找到了網(wǎng)絡(luò)劫持的方案。

劫持的原理

運(yùn)營商劫持大致分為兩種方式：

• DNS強(qiáng)制解析的方式
• 訪問請求的302跳轉(zhuǎn)。

DNS強(qiáng)制解析是通過修改運(yùn)營商的本地DNS記錄，來引導(dǎo)用戶流量到緩存服務(wù)器。工作的方式如下：

• 用戶通過域名發(fā)起訪問請求;
• 請求通過本地DNS進(jìn)行解析;
• 運(yùn)營商DNS設(shè)置強(qiáng)制解析策略;即所有該域名的請求都解析到事先寫好的服務(wù)器上;
• 終端用戶到劫持服務(wù)器交互訪問;
• 劫持服務(wù)器如果有需要的訪問內(nèi)容，則直接返回響應(yīng)給用戶;如果沒有，則去源站同步內(nèi)容。

302跳轉(zhuǎn)的方式和DNS強(qiáng)制解析的方式主要在引流的方式上有所區(qū)別。內(nèi)容緩存是通過監(jiān)控網(wǎng)絡(luò)出口的流量，分析判斷哪些內(nèi)容是可以進(jìn)行劫持處理的。再對劫持的內(nèi)存發(fā)起302跳轉(zhuǎn)的回復(fù)，引導(dǎo)用戶獲取內(nèi)容。其需要對上行的請求流量進(jìn)行端口鏡像或者分光處理?？梢岳斫獬蓮?fù)制一份上行的流量信息 。工作的方式如下：

• 終端用戶發(fā)起訪問請求;
• 流量通過網(wǎng)絡(luò)出口對外發(fā)起訪問;
• 訪問流量被鏡像一份給劫持系統(tǒng)的DPI設(shè)備;
• 4.DPI對流量進(jìn)行分析判斷，比如http get、80端口等數(shù)據(jù)
• 緩存系統(tǒng)判斷是否熱點(diǎn)資源，比如連續(xù)請求5次的相同內(nèi)容;
• 給用戶發(fā)送響應(yīng)請求，告訴客戶本地即是客戶需要訪問的內(nèi)容;
• 由于本地的緩存系統(tǒng)離客戶更近，所以客戶更早收到緩存系統(tǒng)的響應(yīng);
• 用戶和本地的緩存系統(tǒng)建立網(wǎng)絡(luò)交互，源站的響應(yīng)回來的晚，會自動斷開;
• 如果本地有緩存內(nèi)容，則給用戶響應(yīng)內(nèi)容，如果本地沒有，會計(jì)算訪問次數(shù)。當(dāng)達(dá)到響應(yīng)的內(nèi)容時(shí)。

劫持的影響

從兩種運(yùn)營商緩存的特點(diǎn)來看，二者都是通過獲取用戶的數(shù)據(jù)流量，引導(dǎo)用戶訪問內(nèi)容緩存的服務(wù)器。區(qū)別在于引導(dǎo)用戶的方式，DNS強(qiáng)制解析是通過修改域名解析記錄，強(qiáng)制將域名下的所有請求引導(dǎo)到劫持服務(wù)器上。這種方式簡單粗暴，也容易造成很多問題。比如域名下有動態(tài)內(nèi)容，也會被緩存下來。這樣會造成登錄的串號的問題。緩存的內(nèi)容更新不及時(shí)，訪問的都是老內(nèi)容。這也是很多用戶所不能接受的地方。一些冷門資源的緩存，會造成存儲的浪費(fèi)。流量劫持的方式需要鏡像用戶流量，進(jìn)行分析判斷。緩存一些系統(tǒng)判斷是可以緩存的熱點(diǎn)內(nèi)容。DNS強(qiáng)制解析主要針對圖片，302跳轉(zhuǎn)主要針對下載文件，音視頻等大文件。

運(yùn)營商應(yīng)用劫持系統(tǒng)可以帶來的好處是：

• 減少跨網(wǎng)傳輸?shù)脑L問，減少運(yùn)營商之間的網(wǎng)間費(fèi)用結(jié)算。國內(nèi)各個(gè)地區(qū)、運(yùn)營商都是獨(dú)立運(yùn)營的，日?；ヂ?lián)產(chǎn)生的流量是需要進(jìn)行費(fèi)用結(jié)算的。而這筆費(fèi)用其實(shí)是一筆龐大的開銷，而且需要持續(xù)結(jié)算。
• 大多數(shù)運(yùn)營商之間的網(wǎng)絡(luò)出口都在幾十至幾百G不等，內(nèi)容緩存系統(tǒng)可以有效減小網(wǎng)絡(luò)高峰時(shí)出口帶寬的壓力，這樣既可減少對互通網(wǎng)絡(luò)的擴(kuò)容。減少網(wǎng)絡(luò)建設(shè)的費(fèi)用。
• 由于緩存系統(tǒng)可以支持本地化服務(wù)，在一定程度上也可以達(dá)到加快網(wǎng)絡(luò)訪問的目的，提升用戶體驗(yàn)。

由于運(yùn)維系統(tǒng)的人員不可能及時(shí)獲取到劫持內(nèi)容的更新，或者對劫持的內(nèi)容做其他的，壞處是：

• 經(jīng)常訪問到過期的內(nèi)容，文件更新緩慢。導(dǎo)致獲取不到自己想要的信息。
• 跳轉(zhuǎn)到其他網(wǎng)站頁面，或者被插入牛皮癬廣告。

為了減少運(yùn)營商緩存和劫持帶來的影響，目前很多企業(yè)開始使用HTTPS的方式。包括蘋果公司之前要求所有的域名必須是HTTPS的，那么HTTPS能從根本上解決這類的問題嗎?通過上面的分析，很顯然并不能有效的得到解決。https因?yàn)槭褂昧思咏饷艿氖侄危ＷC內(nèi)容被篡改的可能性被降低，但是從運(yùn)營商劫持的原理上來說，并不能有效的降低被劫持的可能性。

【本文是專欄機(jī)構(gòu)“豈安科技”的原創(chuàng)文章，轉(zhuǎn)載請通過微信公眾號(bigsec)聯(lián)系原作者】

當(dāng)前文章：淺談網(wǎng)絡(luò)劫持的原理及影響
標(biāo)題路徑：http://www.dlmjj.cn/article/djhcisc.html