流量劫持,是利用各類惡意軟件修改瀏覽器、鎖定主頁或不停彈出新窗口,強制用戶訪問某些網站,從而形成用戶流量損失的情形。git
流量劫持是一種古老的攻擊方式,好比早已見慣的廣告彈窗(以下圖)等,不少人已經對此麻木,並認爲流量劫持不會形成什麼損失。github
而事實上,流量劫持能夠經過多種你沒法覺察的方式竊取信息!瀏覽器
流量劫持是一個很是龐大的產業鏈,因此十分廣泛,目前百度、谷歌等均已全站HTTPS 。安全
網頁內插入廣告,目前已經能夠實現按時段,按用戶,按次數展現,十分隱蔽。服務器
重定向推廣。好比訪問商品時候,會302 重定向加入推廣連接,等待用戶支付後,以收取平臺佣金,而用戶端是無感知的。網站
劫持網頁,直接跳轉到 xx賭場 等等。 (以前有企業由於流量劫持到不正規網站而被誤認爲從事非法項目,直接封殺公衆號,沒法解封)blog
參考以前文章,因爲 HTTPS 足夠安全,且沒法僞造,所以通常劫持者不會選擇運營商下手。事件
DNS 劫持: 實際上 HTTPS 並不能預防 DNS 劫持,可是因爲用戶訪問頁面會空白或者顯示網頁 HTTPS 不正常,此時會找運營商投訴,所以通常運營商對 DNS 劫持比較慎重,HTTPS 反而是安全的。路由
HTTP 劫持:事實上,劫持者通常會直接放行 HTTPS 流量,劫持 HTTPS 網頁並不能讓用戶端顯示正常的網頁內容。部署
預置證書: 像一些公司,網吧會強制預置根證書,配合網關達到 HTTPS 劫持的目的。(此方式只能經過 解析 CAA 記錄解決劫持,但網頁顯示空白)
大到運營商,路由器廠商,甚至瀏覽器,殺毒軟件... 都有存在流量劫持的行爲,HTTPS 是網頁惟一的救命稻草。
請從 https-start 獲取各大 HTTP 服務器的配置文件和部署說明。