流量劫持：DNS劫持、CDN劫持、網(wǎng)關劫持！

前段時間，今日頭條、美團大眾點評網(wǎng)、360、騰訊、微博、小米科技等六家互聯(lián)網(wǎng)公司聯(lián)合發(fā)表了一份《六公司關于抵制流量劫持等違法行為的聯(lián)合聲明》作為站長而言，我們會經(jīng)常遇到流量劫持的情況，流量劫持最直接的導致了網(wǎng)站的損失。

那么流量劫持一般分為幾種情況呢？如何應對DNS劫持呢？

1、DNS劫持

DNS劫持又稱域名劫持，是指在劫持的網(wǎng)絡范圍內(nèi)攔截域名解析的請求，分析請求的域名，把審查范圍以外的請求放行，否則返回假的IP地址或者什么都不做使請求失去響應，其效果就是對特定的網(wǎng)絡不能反應或訪問的是假網(wǎng)址。

如何應對DNS劫持？

DNS劫持(DNS釣魚攻擊)十分兇猛且不容易被用戶感知，黑客利用寬帶路由器的缺陷對用戶DNS進行篡改——用戶只要瀏覽一下黑客所掌控的WEB頁面，其寬帶路由器的DNS就會被黑客篡改，因為該WEB頁面設有特別的惡意代碼，所以可以成功躲過安全軟件檢測，導致大量用戶被DNS釣魚詐騙。

為此遇到這種情況我們需要手動修改DNS、修改路由器密碼。

2、CDN劫持

CDN能加速大家都知道，但其中原理不少人都不清楚。其實，CDN本身就是一種DNS劫持，只不過是良性的。  不同于黑客強制DNS把域名解析到自己的釣魚IP上，CDN則是讓DNS主動配合，把域名解析到臨近的服務器上。

這臺服務器同樣也開啟了HTTP代理，讓用戶感覺不到CDN的存在。  

不過CDN不像黑客那樣貪心，劫持用戶所有流量，它只『劫持』用戶的靜態(tài)資源訪問，對于之前用戶訪問過的資源，CDN將直接從本地緩存里反饋給用戶，因此速度有了很大的提升。  
然而，只要是有緩存的地方，都是大有可為的。

一旦CDN服務器遭受入侵，硬盤上的緩存文件就岌岌可危了，網(wǎng)頁被注入腳本，可執(zhí)行文件被感染，一大波僵尸即將出現(xiàn)。

如何應對CDN劫持？

防范措施：感覺運營商不靠譜的話，換個第三方不帶加速的 DNS，或許就不會解析到 CDN 服務器上了。
不少 CDN 黑白通吃，為了省流量不按套路出牌，超過了緩存時間也不更新，甚至還有忽略 URL 問號后面的，導致程序猿們在資源更新的問題上頭疼不已。

3、網(wǎng)關劫持

  
交換機的出現(xiàn)逐漸淘汰了集線器。交換機會綁定MAC地址和接口，數(shù)據(jù)包最終只發(fā)往一個終端。因此只要事先配置好MAC對應的接口，理論上非常安全了。  

不過，很少有人會那么做，大多為了偷懶，直接使用了設備默認的模式——自動學習。設備根據(jù)某個接口發(fā)出的包，自動關聯(lián)該包的源地址到此接口。  
然而這種學習并不智能，甚至太過死板，任何一個道聽途說都會當作真理。用戶發(fā)送一個自定義源MAC地址的包是非常容易的，因此交換機成了非常容易被忽悠的對象。只要偽造一個源地址，就能將這個地址關聯(lián)到自己的接口上，以此獲得受害者的流量。  

不過，受害者接著再發(fā)出一個包，綁定關系又恢復原先正常的。因此只要比誰發(fā)的頻繁，誰就能競爭到這個MAC地址的接收權。如果偽造的是網(wǎng)關地址，交換機就誤以為網(wǎng)關電纜插到你接口上，網(wǎng)絡環(huán)境里的出站流量瞬間都到了你這里。

當然，除非你有其他出站渠道，可以將竊取的數(shù)據(jù)代理出去；否則就別想再轉(zhuǎn)發(fā)給被你打垮的真網(wǎng)關了，被劫持的用戶也就沒法上外網(wǎng)。所以這招危害性不是很大，但破壞性很強，可以瞬間集體斷網(wǎng)。  

防范措施：機器固定的網(wǎng)絡盡量綁定MAC和接口吧。貌似大多數(shù)網(wǎng)吧都綁定了MAC和接口，極大增強了鏈路層的安全性。同時，獨立的子網(wǎng)段盡可能劃分VLAN，避免過大的廣播環(huán)境。