老牌軟件劍走偏鋒

很多十幾年歷史的老牌軟件，為了應對日漸疲軟的發展態勢，開始劍走偏鋒，劫持導航主頁。

通過對瀏覽器的配置文件格式和加密算法做逆向分析，實現主頁篡改。Chrome、QQ、360等20余款主流瀏覽器無一幸免。

它們的運作方式，有如下幾個特點：

冒充正規軟件：實際上這些軟件做的十分簡陋，常見的諸如某某日歷、某某天氣預報等等。流氓軟件試圖通過這些正常功能，逃避安全軟件的攔截。

獲取流量：通過主頁鎖定、網頁劫持、廣告彈窗、流量暗刷，靜默安裝等手段，獲取經濟利益。

變種速度快：流氓軟件被安全軟件清理后，會立刻通過其他渠道收購數字證書更換上去。

廣告彈窗屢禁不止

提到流量結合此，不得不提廣告彈窗掛馬攻擊，它本質上也是一種本地流量劫持，更確切的說，也超可以稱之為“流量污染。”

原本的廣告流量，被注入網頁木馬，以廣告彈窗等形式在客戶端觸發，流量劫持者將非常廉價的廣告彈窗流量轉化成了更高價格的安裝了。

一個每1000用戶展示只有幾元錢的成本，通過網頁掛馬（假設成功率為5%），劫持者便能獲取20個用戶安裝量，平均每個用戶安裝5款軟件，保守估計有50元收益，利潤翻了十翻！

很多軟件廠商，對自身廣告流量的管理監控存在漏洞，導致被插入網頁木馬的流量，被大批推送到客戶端，使用戶感染病毒。

當一個網絡數據包成功躲過本地主機系統上的層層流量劫持后，穿行于各個路由網關節點，又要面對另一種劫持手段。

它們有的被指引向錯誤的終點（DNS劫持），也有可能在半路被冒名頂替（302重定向），或者直接被篡改（HTTP注入）。

很多用戶都遇到這樣一種情況，電腦系統、安全軟件掃描沒有任何異常，但就是總出現一些莫名其妙的彈出廣告，或者跳轉到其他網站。

這就是運營商劫持。

對于普通用戶可以說深惡痛絕，企業和網站也深受其害，正常業務、企業形象都會受到影響。

在15年底，深受運營商劫持困擾的騰訊、小米、微博等6家互聯網公司，共同發表了一篇抵制運營商流量劫持的聯合聲明。

好在國內主流的搜索引擎、導航站點、電商網站等都已經擁抱更加安全的https協議，運營商劫持現象得到一定程度的改善。

CDN本質上也是一種DNS劫持，只不過與一般DNS劫持不同，CDN的劫持是良性的，有利于網站數據傳輸的穩定。正因為如此，CDN帶來的良好用戶體驗，被各大網站廣泛使用。

CDN蘊含的驚人流量，也時常成為流量劫持者的目標，在廣告聯盟中尤為常見。

經過分析，CDN緩存污染只會發生在個別地區的網絡中。近幾年來，隨著云服務產業的不斷升級，此類攻擊事件門檻不斷提高，但對CDN服務的安全防護，仍然不可松懈。

路由器作為億萬用戶網絡接入的基礎設備，其安全重要性不言而喻。

盡管主流路由器品牌基本沒有漏洞，每年也都在發布修復補丁的固件，但由于很少用戶會進行升級，DNS劫持事件常有發生。

攻擊者一般會利用漏洞或后門，獲取路由器的系統權限，種植僵尸木馬。或者獲得最高權限后，篡改默認DNS服務器設置，劫持用戶流量。

流量是很多互聯網企業賴以生存的基礎，有流量的地方，就有利益，通過優秀的產品去獲得用戶和流量才是正途，同時我們也應該對各種流量劫持方式有所防范，以免波及核心業務。