首先我们需要了解什么是流量劫持?
流量劫持是一种很老的攻击方式了.比如很常见的广告弹窗,很多人已经对这个习以为常了,并认为流量劫持不会造成什么损失,但是实际上,流量劫持可以通过很多种没办法察觉的方式,暗中窃取账号信息,谋取利益.
比较常见的流量劫持方式
蜜罐代理
WiFi 弱口令
WiFi 伪热点
WiFi 强制断线
WLAN 基站钓鱼
Hub 嗅探
MAC 欺骗
DNS 劫持
CDN 入侵
路由器弱口令
路由器 CSRF
PPPoE 钓鱼
MAC 冲刷
ARP 攻击
DHCP 钓鱼
流量劫持会对我们造成什么损害呢?
不同劫持方式,获取的流量也是有所不同,DNS劫持,只能截获通过域名发起的流量, 直接使用ip加端口做访问地址的通信是不受影响的,CDN入侵,只有浏览网页或者下载的时候才有风险,其他情况下是没有任何问题,网关被劫持的话,用户所有流量都要完蛋
Http协议下更容易出现流量劫持的行为有哪些
1.http容易导致在线应用被劫持
网页技术在近几年有了飞跃性的发展,但是底层协议始终没有多大的变化——HTTP,已经使用了20多年的协议,在HTTP里面,一切都是明文传输,类似一个人没有任何隐私暴露在你面前,他的一切都可以被你随心所欲的控制.而在线使用的WebApp,流量里既有通信数据,又有程序的界面和代码,劫持不要太轻松,就因为这样,劫持网页流量成了灯下黑的钟爱,一种可以网页发的入侵方式.
2.公众场所使用http,即使你没有登入也是会被劫持
在自己的设备,大家都会选择记住各种账号的登入密码,毕竟自己的设备只有自己使用,很平常的一件事情,然而,在被劫持的网络里面,即使浏览在平常不过的网页,可能一个悄无声息的脚本就藏在里面,正在悄咪咪的访问你登录的网页,操作你的账号
3.http状态下,cookie记录周贺浏览器自动填表单,都会导致账号信息被截获
http状态下,cookie记录都是明文的账号信息.被劫持泄露后,即便数量不多,也是可以通过社工获取到更多关于该账号的信息,最终结果就是更多的信息被泄露
4.HTTP缓存投毒
HTTP这种简单的纯文本协议,几乎没有签名机制用来验证内容的真实性,即便页面被篡改,浏览器也是无法判断的,甚至连同住的脚本也会被缓存起来,但凡具备可执行的资源,都是可以通过预加载带毒的版本提前缓存起来
Https能避免流量劫持嘛?
可以的,但是有前提,这个前提是必须使用受信任的SSL证书
不同于简简单单的http代理,HTTPS服务是需要权威的CA机构颁发的SSL证书才算有效的,自签证书浏览器是不认可的,而且会给予警告提示,而且遇到"此网站安全证书存在问题"的警告提示时,基本用户都是不清楚什么原因的,只是直接点了继续,导致允许灯下黑的伪证书,HTTPS流量因此被劫持
如果说重要的账号网站遇到这样的情况,基本等于大门要是落入灯下黑之手
而这里提及的权威CA机构是指已经通过WebTrust国际认证,根证书由微软预置,受微软等各类操作系统、主流移动设备和浏览器信任的CA机构;在中国还要附加一项,就是要拿到工信部许可的CA牌照;这样的CA机构,才有权力签发各类数字证书。
自签证书是指不受信任的机构或个人,自己签发的证书,容易被灯下黑伪造替换
全站HTTPS的重要性
情况一:从http页面跳转访问https页面
在现实中,电脑浏览网页很少是直接访问HTTPS网站的,打个比方,支付宝网站很多的情况下都是从淘宝跳转的,而淘宝目前使用您的还是HTTP协议,如果淘宝网页被注入XXS的话,屏蔽了跳转,直接使用HTTP取代HTTPS访问,那么用户降永远无法访问安全的网站
尽管地址浪没有出现小锁,即HTTPS的字样,但是域名看起来都是正常的,一般用户都无法判断,等于直接无视了.
因此,只要头个访问的网页是不安全的,后面在安全也没有什么作用,
情况二:http页面重定向到https页面
有一些用户通过输入网址访问,他们输入支付宝的网址,然而,浏览器可没有那么聪明,会知道这是https的站点,反而会使用http访问,不过http的支付宝网页也是存在的,他唯一作用就是重定向到支付宝https网页上.
劫持流量的灯下黑一旦发现这个行为,可以拦截下重定向这个指令,然后去获取重定向的网页内容,然后在反馈到用户,这个情况下用户至始至终都是在htpp页面上,自然会一直被劫持.
国外各大知名网站都是通过全站https技术来保证用户信息和交易安全,防止会话攻击和灯下黑攻击.
综上所述
从上诉劫持例子中,我们可以看出https是可以一定程度上防止被劫持的,所以无论是网站运营者还是网民本身,为了自身信息的安全,都要形成访问HTTPS站点习惯,特别是记录有自身身份信息的站点,登入是要格外注意