2015年12月15日,今日頭條、美團大眾點評網、360、騰訊、微博、小米科技六家公司發表聯合聲明,共同呼籲有關運營商嚴格打擊流量劫持問題,重視互聯網被流量劫持可能導致的嚴重後果。
聯合聲明指出,在當前的移動互聯網環境下,流量劫持主要分為兩種方式:域名劫持和數據劫持,放任流量劫持會導致擾亂市場秩序、損害用戶利益以及傳播詐騙、色情等低俗甚至嚴重違法信息的惡果。
而在2015年11月,上海浦東法院也剛剛對中國大陸地區首例流量劫持刑案作出判決,兩名被告人被判有期徒刑三年,緩刑三年,扣押在案的作案工具以及沒收退繳在案的違法所得。
在此前的很長時間內,流量劫持行為並沒有被定義為刑事犯罪,而隨著浦東法院的判決、六大互聯網公司聯合聲明的發出,流量劫持正在得到更大範圍的關注。如何防範流量劫持正成為各家互聯網公司的探討重點。
就此,記者聯繫了阿里雲資深開發工程師亭林,請他介紹了流量劫持的技術原理以及相應的防範措施,精簡分享如下。
---------------------------------------------------------------------------------
相對於PC端的網絡環境,移動端的網絡環境更為複雜,2G、3G、4G、Wi-Fi各有不同,而複雜的網絡環境也增加了流量劫持的可能性和複雜程度。
流量劫持的方式主要分為兩種,域名劫持和數據劫持。
域名劫持是針對傳統DNS解析的常見劫持方式。用戶在瀏覽器輸入網址,即發出一個HTTP請求,首先需要進行域名解析,得到業務服務器的IP地址。使用傳統DNS解析時,會通過當地網絡運營商提供的Local DNS解析得到結果。域名劫持,即是在請求Local DNS解析域名時出現問題,目標域名被惡意地解析到其他IP地址,造成用戶無法正常使用服務。
傳統DNS解析流程
解決域名劫持的一個辦法就是繞開Local DNS,通過一個可信的源頭來解析域名,解析方式不需要拘泥於DNS協議,也可以通過HTTP的方式。兩年前,手機淘寶等APP也曾遇到這一問題,隨後在做底層網絡優化時,通過使用自己定製的HTTPDNS,一個安全可信的域名解析方案,解決了域名劫持問題。
HTTPDNS技術也準備通過阿里雲平臺開放給廣大開發者使用,當前這款產品正在公測中,將於2016年3月29日提供商業化服務。到時,阿里雲上的移動開發者也能自主選擇,將需要防劫持的域名進行保護。
數據劫持基本針對明文傳輸的內容發生。用戶發起HTTP請求,服務器返回頁面內容時,經過中間的運營商網絡,頁面內容被篡改或加塞內容,強行插入彈窗或者廣告。
行業內解決的辦法即是對內容進行HTTPS加密,實現密文傳輸,徹底避免劫持問題。MD5校驗同樣能起到防止數據劫持的作用,MD5校驗是指內容返回前,應用層對返回的數據進行校驗,生成校驗值;同時,內容接收方接收到內容後,也對內容進行校驗,同樣生成校驗值,將這兩個校驗值進行比對,倘若一致,則可以判斷數據無劫持。但相比HTTPS加密,MD5校驗存在一定風險,劫持方技術能力強則有可能在篡改內容後替換校驗值,導致接收方判斷錯誤。
使用HTTPS加密,已經成為了互聯網行業的大勢所趨。今年雙11,阿里的淘寶、天貓、聚划算等電商平臺也都全面實現了HTTPS加密訪問,全站改造投入巨大,但有效防止了資源被劫持,保障了用戶的收發信息安全。未來,這一技術將不僅限於電商平臺,還將通過阿里雲對外輸出,賦能更多的中小互聯網企業,降低他們的創業成本,在更安全的移動互聯網環境中得到發展。
立即試用阿里雲 HTTPDNS。
釘釘搜索35248489,加入阿里云云原生應用研發平臺EMAS技術交流群,探討最新最熱門的應用研發技術和實踐。(或釘釘掃碼加入)
