流量劫持：DNS劫持、CDN劫持、網(wǎng)關(guān)劫持！

前段時(shí)間，今日頭條、美團(tuán)大眾點(diǎn)評(píng)網(wǎng)、360、騰訊、微博、小米科技等六家互聯(lián)網(wǎng)公司聯(lián)合發(fā)表了一份《六公司關(guān)于抵制流量劫持等違法行為的聯(lián)合聲明》作為站長(zhǎng)而言，我們會(huì)經(jīng)常遇到流量劫持的情況，流量劫持最直接的導(dǎo)致了網(wǎng)站的損失。

那么流量劫持一般分為幾種情況呢？如何應(yīng)對(duì)DNS劫持呢？

1、DNS劫持

DNS劫持又稱域名劫持，是指在劫持的網(wǎng)絡(luò)范圍內(nèi)攔截域名解析的請(qǐng)求，分析請(qǐng)求的域名，把審查范圍以外的請(qǐng)求放行，否則返回假的IP地址或者什么都不做使請(qǐng)求失去響應(yīng)，其效果就是對(duì)特定的網(wǎng)絡(luò)不能反應(yīng)或訪問(wèn)的是假網(wǎng)址。

如何應(yīng)對(duì)DNS劫持？

DNS劫持(DNS釣魚攻擊)十分兇猛且不容易被用戶感知，黑客利用寬帶路由器的缺陷對(duì)用戶DNS進(jìn)行篡改——用戶只要瀏覽一下黑客所掌控的WEB頁(yè)面，其寬帶路由器的DNS就會(huì)被黑客篡改，因?yàn)樵揥EB頁(yè)面設(shè)有特別的惡意代碼，所以可以成功躲過(guò)安全軟件檢測(cè)，導(dǎo)致大量用戶被DNS釣魚詐騙。

為此遇到這種情況我們需要手動(dòng)修改DNS、修改路由器密碼。

2、CDN劫持

CDN能加速大家都知道，但其中原理不少人都不清楚。其實(shí)，CDN本身就是一種DNS劫持，只不過(guò)是良性的。  不同于黑客強(qiáng)制DNS把域名解析到自己的釣魚IP上，CDN則是讓DNS主動(dòng)配合，把域名解析到臨近的服務(wù)器上。

這臺(tái)服務(wù)器同樣也開啟了HTTP代理，讓用戶感覺(jué)不到CDN的存在。  

不過(guò)CDN不像黑客那樣貪心，劫持用戶所有流量，它只『劫持』用戶的靜態(tài)資源訪問(wèn)，對(duì)于之前用戶訪問(wèn)過(guò)的資源，CDN將直接從本地緩存里反饋給用戶，因此速度有了很大的提升。  
然而，只要是有緩存的地方，都是大有可為的。

一旦CDN服務(wù)器遭受入侵，硬盤上的緩存文件就岌岌可危了，網(wǎng)頁(yè)被注入腳本，可執(zhí)行文件被感染，一大波僵尸即將出現(xiàn)。

如何應(yīng)對(duì)CDN劫持？

防范措施：感覺(jué)運(yùn)營(yíng)商不靠譜的話，換個(gè)第三方不帶加速的 DNS，或許就不會(huì)解析到 CDN 服務(wù)器上了。
不少 CDN 黑白通吃，為了省流量不按套路出牌，超過(guò)了緩存時(shí)間也不更新，甚至還有忽略 URL 問(wèn)號(hào)后面的，導(dǎo)致程序猿們?cè)谫Y源更新的問(wèn)題上頭疼不已。

3、網(wǎng)關(guān)劫持

  
交換機(jī)的出現(xiàn)逐漸淘汰了集線器。交換機(jī)會(huì)綁定MAC地址和接口，數(shù)據(jù)包最終只發(fā)往一個(gè)終端。因此只要事先配置好MAC對(duì)應(yīng)的接口，理論上非常安全了。  

不過(guò)，很少有人會(huì)那么做，大多為了偷懶，直接使用了設(shè)備默認(rèn)的模式——自動(dòng)學(xué)習(xí)。設(shè)備根據(jù)某個(gè)接口發(fā)出的包，自動(dòng)關(guān)聯(lián)該包的源地址到此接口。  
然而這種學(xué)習(xí)并不智能，甚至太過(guò)死板，任何一個(gè)道聽途說(shuō)都會(huì)當(dāng)作真理。用戶發(fā)送一個(gè)自定義源MAC地址的包是非常容易的，因此交換機(jī)成了非常容易被忽悠的對(duì)象。只要偽造一個(gè)源地址，就能將這個(gè)地址關(guān)聯(lián)到自己的接口上，以此獲得受害者的流量。  

不過(guò)，受害者接著再發(fā)出一個(gè)包，綁定關(guān)系又恢復(fù)原先正常的。因此只要比誰(shuí)發(fā)的頻繁，誰(shuí)就能競(jìng)爭(zhēng)到這個(gè)MAC地址的接收權(quán)。如果偽造的是網(wǎng)關(guān)地址，交換機(jī)就誤以為網(wǎng)關(guān)電纜插到你接口上，網(wǎng)絡(luò)環(huán)境里的出站流量瞬間都到了你這里。

當(dāng)然，除非你有其他出站渠道，可以將竊取的數(shù)據(jù)代理出去；否則就別想再轉(zhuǎn)發(fā)給被你打垮的真網(wǎng)關(guān)了，被劫持的用戶也就沒(méi)法上外網(wǎng)。所以這招危害性不是很大，但破壞性很強(qiáng)，可以瞬間集體斷網(wǎng)。  

防范措施：機(jī)器固定的網(wǎng)絡(luò)盡量綁定MAC和接口吧。貌似大多數(shù)網(wǎng)吧都綁定了MAC和接口，極大增強(qiáng)了鏈路層的安全性。同時(shí)，獨(dú)立的子網(wǎng)段盡可能劃分VLAN，避免過(guò)大的廣播環(huán)境。