淺談網絡劫持的原理及影響

葉孤城 豈安科技售前顧問

9年互聯網項目支持經驗，涉獵各種體育項目

無處不在的劫持

利用餓了麼2塊錢的補差價就能划走用戶支付寶的2000元、利用訂購的機票信息，就能獲取到用戶信任，騙取財產、老是被跳轉到一些本身不想訪問的頁面上、爲何總有那麼多本身跳出來的廣告？爲何一個正常的連接點進去以後會出現下載界面？咱們的數據信息怎麼就這麼不安全？

對於普通用戶來講，你的請求數據發出去之後，會通過哪裏，最終去到哪裏，怎麼處理響應，這後面的一切都是黑洞。而對於想利用你的信息作壞事的人來講，每個環節都是他們的機會。

先不說壞人經過爬蟲、撞庫等手段獲取用戶信息。最直接的咱們數據接入的運營商均可能會對咱們的數據分析監控。好比敏感信息信息的監控、涉黃涉恐信息的過濾，而咱們可以感覺到影響的可能就是網絡劫持了。那麼運營商爲何要作網絡劫持，經過什麼手段來作劫持，網絡劫持的利弊在哪呢？

劫持的產生

近年來隨着網上購物、直播、物聯網、共享經濟、人工智能等不斷深刻咱們的生活，互聯網行業取得飛速的發展。根據最新的第40期《中國互聯網發展統計報告》顯示，截止2017年6月，中國互聯網用戶已經達到7.51億，佔全球網民的1/5。隨之而來的是網絡流量的不斷增長，目前中國的國際網絡出口的帶寬已經高達8T，而國內用戶產生的網絡流量要遠遠大於這個數字。與之相對應的是中國複雜的網絡環境。除了電信、聯通、移動是比較大的網絡接入廠商，此外包含長城寬帶、鵬博士、教育網、科技網、廣電等等很多於20多家的小運營商。並且各個省市是相互獨立運營。這就會致使網絡出現跨網、跨運營商的狀況會特別多，基本上很難避免。而各個運營商之間的出口帶寬不盡相同，這很能是成爲網絡高峯的瓶頸。同時這種大量跨網訪問的流量，在運營商之間會產生一筆很大的結算費用。也就是說運營商之間的互通是須要收費的。
做爲運營商，面對這麼大的帶寬流量。該如何保障用戶體驗，減少自身成本呢。因而，他們找到了網絡劫持的方案。

劫持的原理

運營商劫持大體分爲兩種方式：
➤DNS強制解析的方式
➤訪問請求的302跳轉。

DNS強制解析是經過修改運營商的本地DNS記錄，來引導用戶流量到緩存服務器。工做的方式以下：

• 用戶經過域名發起訪問請求；
• 請求經過本地DNS進行解析；
• 運營商DNS設置強制解析策略；即全部該域名的請求都解析到事先寫好的服務器上；
• 終端用戶到劫持服務器交互訪問；
• 劫持服務器若是有須要的訪問內容，則直接返回響應給用戶；若是沒有，則去源站同步內容。

302跳轉的方式和DNS強制解析的方式主要在引流的方式上有所區別。內容緩存是經過監控網絡出口的流量，分析判斷哪些內容是能夠進行劫持處理的。再對劫持的內存發起302跳轉的回覆，引導用戶獲取內容。其須要對上行的請求流量進行端口鏡像或者分光處理。能夠理解成複製一份上行的流量信息 。工做的方式以下：

• 終端用戶發起訪問請求；
• 流量經過網絡出口對外發起訪問；
• 訪問流量被鏡像一份給劫持系統的DPI設備；
• DPI對流量進行分析判斷，好比http get、80端口等數據
• 緩存系統判斷是否熱點資源，好比連續請求5次的相同內容；
• 給用戶發送響應請求，告訴客戶本地便是客戶須要訪問的內容；
• 因爲本地的緩存系統離客戶更近，因此客戶更早收到緩存系統的響應；
• 用戶和本地的緩存系統創建網絡交互，源站的響應回來的晚，會自動斷開；
• 若是本地有緩存內容，則給用戶響應內容，若是本地沒有，會計算訪問次數。當達到響應的內容時。

劫持的影響

從兩種運營商緩存的特色來看，兩者都是經過獲取用戶的數據流量，引導用戶訪問內容緩存的服務器。區別在於引導用戶的方式，DNS強制解析是經過修改域名解析記錄，強制將域名下的全部請求引導到劫持服務器上。這種方式簡單粗暴，也容易形成不少問題。好比域名下有動態內容，也會被緩存下來。這樣會形成登陸的串號的問題。緩存的內容更新不及時，訪問的都是老內容。這也是不少用戶所不能接受的地方。一些冷門資源的緩存，會形成存儲的浪費。流量劫持的方式須要鏡像用戶流量，進行分析判斷。緩存一些系統判斷是能夠緩存的熱點內容。DNS強制解析主要針對圖片，302跳轉主要針對下載文件，音視頻等大文件。

運營商應用劫持系統能夠帶來的好處是：

1. 減小跨網傳輸的訪問，減小運營商之間的網間費用結算。國內各個地區、運營商都是獨立運營的，平常互聯產生的流量是須要進行費用結算的。而這筆費用實際上是一筆龐大的開銷，並且須要持續結算。
2. 大多數運營商之間的網絡出口都在幾十至幾百G不等，內容緩存系統能夠有效減少網絡高峯時出口帶寬的壓力，這樣既可減小對互通網絡的擴容。減小網絡建設的費用。
3. 因爲緩存系統能夠支持本地化服務，在必定程度上也能夠達到加快網絡訪問的目的，提高用戶體驗。

因爲運維繫統的人員不可能及時獲取到劫持內容的更新，或者對劫持的內容作其餘的，壞處是：

1. 常常訪問到過時的內容，文件更新緩慢。致使獲取不到本身想要的信息。
2. 跳轉到其餘網站頁面，或者被插入牛皮癬廣告。

爲了減小運營商緩存和劫持帶來的影響，目前不少企業開始使用HTTPS的方式。包括蘋果公司以前要求全部的域名必須是HTTPS的，那麼HTTPS能從根本上解決這類的問題嗎？經過上面的分析，很顯然並不能有效的獲得解決。https由於使用了加解密的手段，保證內容被篡改的可能性被下降，可是從運營商劫持的原理上來講，並不能有效的下降被劫持的可能性。