HTTPS加密解决流量劫持的杀手锏

admin

2024-11-19 6 0条评论

发布日期：2023-06-10

美好周末午后，数fun fun窝在沙发上看手机综艺。

但没看多久，每过一会儿就会弹出一个广告窗口，而数fun fun只要一点击关闭键，窗口非但未消失，反而跳转到另一个不知名购物网站。

几番折腾后，数fun fun抱怨道：“这什么广告弹窗啊，关还关不掉，老把我往乱七八糟的网页领。”

其实，数fun fun这是碰上流量劫持了。就是有人通过控制、修改或者删除某些数据通信的原有路径或者内容，把数fun fun从原网站引到那些人想让数fun fun看的目标网站。”

流量劫持分类

域名劫持，表现为在用户正常联网状态下，目标域名会被恶意地解析到其他IP地址上，造成用户无法正常使用服务。

数据劫持，指强行插入弹窗或嵌入式广告等其他内容，干扰用户的正常使用。

HTTP协议下更容易发生流量劫持

网页技术在近些年里有了很大的发展，但其底层协议始终没有太大的改进 —— HTTP，一种使用了 20 多年古老协议。在HTTP 里，一切都是明文传输的，流量在途中可随心所欲的被控制。

在自己的设备上，大家都会记住各种账号的登录状态，反正只有自己用，也没什么大不了的。然而，在被劫持的网络里，即使浏览再平常不过的网页，或许一个悄无声息的间谍脚本已暗藏其中，不登录也会被劫持，操控起你的账号了。

HTTPS 如何预防流量劫持
图片
由于 HTTPS 足够安全，且无法伪造，因此一般劫持者不会选择运营商下手。

DNS 劫持

实际上 HTTPS 并不能预防 DNS 劫持，但是由于用户访问页面会空白或者显示网页 HTTPS 不正常，此时会找运营商投诉，因此一般运营商对 DNS 劫持比较慎重，HTTPS 反而是安全的。

HTTP 劫持

事实上，劫持者一般会直接放行 HTTPS 流量，劫持 HTTPS 网页并不能让用户端显示正常的网页内容。

预置证书

像一些公司，网吧会强制预置根证书，配合网关达到 HTTPS 劫持的目的。（此方式只能通过解析 CAA 记录解决劫持，但网页显示空白）。

不同于简单的HTTP代理，HTTPS 服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认，而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时，大多用户会选择关闭页面，所以网站证书需要选择权威CA机构颁发。

这里所说的权威CA机构是指已经通过WebTrust国际认证，根证书由微软预置，受微软等各类操作系统、主流移动设备和浏览器信任的CA机构；在中国还要附加一项，就是要拿到工信部许可的CA牌照；这样的CA机构，才有权利签发各类数字证书。

当前，HTTPS依然是非常有效的流量劫持防范措施之一，无论是网络服务提供商还是广大网民，为保障自己的帐户安全和个人权益，都要形成使用HTTPS访问网站的习惯和意识，重要的网站更要及时部署权威机构颁发的SSL证书，才能确保网站关键数据的安全和完整。

上一篇：世界水果巨头因勒索攻击直接损失超7400万元

下一篇：警惕黑客利用 “高考” 热点进行攻击

HTTPS加密 解决流量劫持的杀手锏