首先我們需要了解什么是流量劫持?

流量劫持是一種很老的攻擊方式了.比如很常見(jiàn)的廣告彈窗,很多人已經(jīng)對(duì)這個(gè)習(xí)以為常了,并認(rèn)為流量劫持不會(huì)造成什么損失,但是實(shí)際上,流量劫持可以通過(guò)很多種沒(méi)辦法察覺(jué)的方式,暗中竊取賬號(hào)信息,謀取利益.

比較常見(jiàn)的流量劫持方式

蜜罐代理

WiFi 弱口令

WiFi 偽熱點(diǎn)

WiFi 強(qiáng)制斷線

WLAN 基站釣魚(yú)

Hub 嗅探

MAC 欺騙

DNS 劫持

CDN 入侵

路由器弱口令

路由器 CSRF

PPPoE 釣魚(yú)

MAC 沖刷

ARP 攻擊

DHCP 釣魚(yú)

流量劫持會(huì)對(duì)我們?cè)斐墒裁磽p害呢?

不同劫持方式,獲取的流量也是有所不同,DNS劫持,只能截獲通過(guò)域名發(fā)起的流量, 直接使用ip加端口做訪問(wèn)地址的通信是不受影響的,CDN入侵,只有瀏覽網(wǎng)頁(yè)或者下載的時(shí)候才有風(fēng)險(xiǎn),其他情況下是沒(méi)有任何問(wèn)題,網(wǎng)關(guān)被劫持的話,用戶所有流量都要完蛋

Http協(xié)議下更容易出現(xiàn)流量劫持的行為有哪些

1.http容易導(dǎo)致在線應(yīng)用被劫持

網(wǎng)頁(yè)技術(shù)在近幾年有了飛躍性的發(fā)展,但是底層協(xié)議始終沒(méi)有多大的變化——HTTP,已經(jīng)使用了20多年的協(xié)議,在HTTP里面,一切都是明文傳輸,類似一個(gè)人沒(méi)有任何隱私暴露在你面前,他的一切都可以被你隨心所欲的控制.而在線使用的WebApp,流量里既有通信數(shù)據(jù),又有程序的界面和代碼,劫持不要太輕松,就因?yàn)檫@樣,劫持網(wǎng)頁(yè)流量成了燈下黑的鐘愛(ài),一種可以網(wǎng)頁(yè)發(fā)的入侵方式.

2.公眾場(chǎng)所使用http,即使你沒(méi)有登入也是會(huì)被劫持

在自己的設(shè)備,大家都會(huì)選擇記住各種賬號(hào)的登入密碼,畢竟自己的設(shè)備只有自己使用,很平常的一件事情,然而,在被劫持的網(wǎng)絡(luò)里面,即使瀏覽在平常不過(guò)的網(wǎng)頁(yè),可能一個(gè)悄無(wú)聲息的腳本就藏在里面,正在悄咪咪的訪問(wèn)你登錄的網(wǎng)頁(yè),操作你的賬號(hào)

3.http狀態(tài)下,cookie記錄周賀瀏覽器自動(dòng)填表單,都會(huì)導(dǎo)致賬號(hào)信息被截獲

http狀態(tài)下,cookie記錄都是明文的賬號(hào)信息.被劫持泄露后,即便數(shù)量不多,也是可以通過(guò)社工獲取到更多關(guān)于該賬號(hào)的信息,最終結(jié)果就是更多的信息被泄露

4.HTTP緩存投毒

HTTP這種簡(jiǎn)單的純文本協(xié)議,幾乎沒(méi)有簽名機(jī)制用來(lái)驗(yàn)證內(nèi)容的真實(shí)性,即便頁(yè)面被篡改,瀏覽器也是無(wú)法判斷的,甚至連同住的腳本也會(huì)被緩存起來(lái),但凡具備可執(zhí)行的資源,都是可以通過(guò)預(yù)加載帶毒的版本提前緩存起來(lái)

Https能避免流量劫持嘛?

可以的,但是有前提,這個(gè)前提是必須使用受信任的SSL證書(shū)

不同于簡(jiǎn)簡(jiǎn)單單的http代理,HTTPS服務(wù)是需要權(quán)威的CA機(jī)構(gòu)頒發(fā)的SSL證書(shū)才算有效的,自簽證書(shū)瀏覽器是不認(rèn)可的,而且會(huì)給予警告提示,而且遇到"此網(wǎng)站安全證書(shū)存在問(wèn)題"的警告提示時(shí),基本用戶都是不清楚什么原因的,只是直接點(diǎn)了繼續(xù),導(dǎo)致允許燈下黑的偽證書(shū),HTTPS流量因此被劫持

如果說(shuō)重要的賬號(hào)網(wǎng)站遇到這樣的情況,基本等于大門(mén)要是落入燈下黑之手

而這里提及的權(quán)威CA機(jī)構(gòu)是指已經(jīng)通過(guò)WebTrust國(guó)際認(rèn)證，根證書(shū)由微軟預(yù)置，受微軟等各類操作系統(tǒng)、主流移動(dòng)設(shè)備和瀏覽器信任的CA機(jī)構(gòu)；在中國(guó)還要附加一項(xiàng)，就是要拿到工信部許可的CA牌照；這樣的CA機(jī)構(gòu)，才有權(quán)力簽發(fā)各類數(shù)字證書(shū)。

自簽證書(shū)是指不受信任的機(jī)構(gòu)或個(gè)人，自己簽發(fā)的證書(shū)，容易被燈下黑偽造替換

全站HTTPS的重要性

情況一：從http頁(yè)面跳轉(zhuǎn)訪問(wèn)https頁(yè)面

在現(xiàn)實(shí)中,電腦瀏覽網(wǎng)頁(yè)很少是直接訪問(wèn)HTTPS網(wǎng)站的,打個(gè)比方,支付寶網(wǎng)站很多的情況下都是從淘寶跳轉(zhuǎn)的,而淘寶目前使用您的還是HTTP協(xié)議,如果淘寶網(wǎng)頁(yè)被注入XXS的話,屏蔽了跳轉(zhuǎn),直接使用HTTP取代HTTPS訪問(wèn),那么用戶降永遠(yuǎn)無(wú)法訪問(wèn)安全的網(wǎng)站

盡管地址浪沒(méi)有出現(xiàn)小鎖,即HTTPS的字樣,但是域名看起來(lái)都是正常的,一般用戶都無(wú)法判斷,等于直接無(wú)視了.

因此,只要頭個(gè)訪問(wèn)的網(wǎng)頁(yè)是不安全的,后面在安全也沒(méi)有什么作用,

情況二:http頁(yè)面重定向到https頁(yè)面

有一些用戶通過(guò)輸入網(wǎng)址訪問(wèn),他們輸入支付寶的網(wǎng)址,然而,瀏覽器可沒(méi)有那么聰明,會(huì)知道這是https的站點(diǎn),反而會(huì)使用http訪問(wèn),不過(guò)http的支付寶網(wǎng)頁(yè)也是存在的,他唯一作用就是重定向到支付寶https網(wǎng)頁(yè)上.

劫持流量的燈下黑一旦發(fā)現(xiàn)這個(gè)行為,可以攔截下重定向這個(gè)指令,然后去獲取重定向的網(wǎng)頁(yè)內(nèi)容,然后在反饋到用戶,這個(gè)情況下用戶至始至終都是在htpp頁(yè)面上,自然會(huì)一直被劫持.

國(guó)外各大知名網(wǎng)站都是通過(guò)全站https技術(shù)來(lái)保證用戶信息和交易安全,防止會(huì)話攻擊和燈下黑攻擊.

綜上所述

從上訴劫持例子中,我們可以看出https是可以一定程度上防止被劫持的,所以無(wú)論是網(wǎng)站運(yùn)營(yíng)者還是網(wǎng)民本身,為了自身信息的安全,都要形成訪問(wèn)HTTPS站點(diǎn)習(xí)慣,特別是記錄有自身身份信息的站點(diǎn),登入是要格外注意