主要的網絡劫持形式:
近年來流量劫持(運營商網絡劫持)頻頻發生,各種方式也是層出不窮,易維信-EVTrust總結各種網絡劫持現象和其帶來的危害
1、域名劫持,用戶想要訪問網站A,域名卻被解析到其它地址,用戶無法正常訪問想要訪問的頁面,網站流量受損。如果域名被解析到惡意釣魚網站,導致用戶財產損失,例如網上用戶本來想要訪問某知名的金融網站,卻被跳轉到另一個見容極爲相似的假冒網站,從而套取用戶數據,導致企業與用戶損失慘重。
2、運營商網絡劫持有的會在網站彈出廣告,不是所有網站都會彈,一般大型門戶網站什麼的不彈,這樣會讓人以爲是某些網站本來就會畢彈窗,這會直接影響到公司運營的網站在用戶心中的信譽,損害公司利益。即使更改DNS也會彈,一般大家會想到DNS劫持,現在運營商變更聰明瞭,用網關劫持,用戶所有流量都難逃魔掌。尤其是部分運營商,越來越爲所欲爲,某家受影響嚴重的企業到工信部投訴後,他可能會道歉改整,不久後又開始耍流氓。
3、隨着網絡的不斷髮展,近年來基於Web的App(B/S架構應用程序)發展的如火如荼,但其底層協議始終沒有太大的改進 —— HTTP,一切都是明文傳輸的,流量在途中可隨心所欲的被控制。而在線使用的WebApp,流量裏既有通信數據,又有程序的界面和代碼,對於各路黑客,劫持簡直輕而易舉。
4、 不安全的Wi-Fi和cookie無處不在,公共場合(例如公共WiFi或網吧的電腦)使用HTTP,不登陸也會被劫持,在自己的設備上,大家都會記住各種賬號的登錄狀態,反正只有自己用,也沒什麼大不了的。然而,在公共被劫持的網絡裏,即使瀏覽再平常不過的網頁,或許一個悄無聲息的間諜腳本已暗藏其中,正偷偷訪問你那登錄着的網頁,操控起你的賬號了。
如何預防各種網絡劫持,避免這些危害呢?
安裝SSL證書,實現HTTPS加密。不同於簡單的Http代理,HTTPS 服務需要權威CA機構頒發的SSL證書才能達到非常好的效果。自簽證書瀏覽器不識別,而且會給予嚴重的警告提示。而遇到“此網站安全證書存在問題”的警告時,大多用戶不明白是什麼情況,就點了繼續,導致允許了黑客的僞證書,HTTPS 流量因此遭到劫持。如果重要的賬戶網站遇到這種情況,無論如何都不該點擊繼,否則大門鑰匙或許就落入黑客之手。自簽證書是指不受信任的任意機構或個人,自己隨意簽發的證書,容易被黑客僞造替換。
做全站HTTPS對於預防網絡劫持重要性嗎?
情況一:從http頁面跳轉訪問https頁面,事實上,在PC端上網很少有直接進入 HTTPS 網站的。例如支付寶網站,大多是從淘寶跳轉過來,而淘寶使用的仍是不安全的 HTTP 協議。如果在淘寶網的頁面裏注入 XSS,屏蔽跳轉到 HTTPS 的頁面訪問,用 HTTP 取而代之,那麼用戶也就永遠無法進入安全站點了。儘管地址欄裏沒有出現 HTTPS 的字樣,但域名看起來也是正確的,大多用戶都會認爲不是釣魚網站,因此也就忽視了。因此,只要入口頁是不安全的,那麼之後的頁面再安全也無濟於事。
情況二:http頁面重定向到https頁面有一些用戶通過輸網址訪問的,他們輸入了某個網址就敲回車進入了。然而,瀏覽器並不知道這是一個 HTTPS 的站點,於是使用默認的 HTTP 去訪問。不過這個HTTP版的支付寶的確也存在,其唯一功能就是重定向到自己 HTTPS 站點上。劫持流量的中間人一旦發現有重定向到 HTTPS 站點的,於是攔下重定向的命令,自己去獲取重定向後的站點內容,然後再回復給用戶。於是,用戶始終都是在 HTTP 站點上訪問,自然就可以無限劫持了。
國內外各大知名網站(PayPal,Baidu,95516.net,Facebook,Gmail,Hotmail等)都通過通配符SSL證書來保證用戶機密信息和交易安全,防止會話攻擊和中間人攻擊。從上面的各類劫持案例中,我們可以看出,Https是很有效的流量劫持防範措施,無論是網絡服務提供商還是廣大網民,爲咱自己的帳戶安全和權益,都要形成使用https訪問網站的習慣和意識,重要的網站必定使用 HTTPS 協議,登陸時需格外留意!