流量劫持识别_流量劫持是什么意思_手机流量劫持怎么解决(3)

[14] 用户任意点击网页触发广告弹窗跳转到“6间房”推广页面

这个案例劫持代码中的域名“abc.ss229.com”归属于推广广告联盟，在安全论坛和微博已有多次用户反馈，其官网号称日均PV达到2.5亿。其实运营商劫持流量的买卖其实已是圈内半公开的秘密，结合对用户上网习惯的分析，可以实现对不同地区、不同群体用户的精准定制化广告推送，感兴趣的读者可以自行搜索相关的QQ群。

[15] 公开化的运营商劫持流量买卖

缺乏安全保护的dns协议和明文传输的http流量非常容易遭到劫持，而运营商占据网络流量的必经之路，在广告劫持技术上具有先天优势，比如常见的分光镜像技术，对于普通用户和厂商来说对抗成本相对较高，另一方面国内主流的搜索引擎、导航站点、电商网站都已经开始积极拥抱更加安全的https协议，这无疑是非常可喜的转变。

[16] 常用于运营商流量劫持的分光镜像技术

wooyun平台上也曾多次曝光运营商流量劫持的案例，例如曾经被用户举报的案例“下载小米商城被劫持到UC浏览器APP”，感谢万能的白帽子深入某运营商劫持平台系统为我们揭秘。

[17] 被曝光的某运营商apk下载分发劫持的管理后台

以上种种，不得不让人想起“打劫圈”最富盛名的一句浑语，“此山是我开,此树是我栽,要想过此路,留下买路财”，“买网络送广告”已经成为网络运营商的标准套餐。这些劫持流量的买卖显然不仅仅是所谓的“个别内部员工违规操作”，还是那句话，用户越多责任越大，且行且珍惜。流量劫持识别

2.CDN缓存污染

CDN加速技术本质上是一种良性的DNS劫持，通过DNS引导将用户对服务器上的js、图片等不经常变化的静态资源的请求引导到最近的服务器上，从而加速网络访问。加速访问的良好用户体验使CDN加速被各大网站广泛使用，其中蕴含的惊人流量自然也成为流量劫持者的目标。

[18] 用户打开正常网页后跳转到“色播”诱导页面

[19] 抓包分析显示百度网盟的公共JS文件被注入广告代码

百度网盟作为全国最大的广告联盟之一，每天的广告流量PV是都是以亿为单位的，其CDN缓存遭遇劫持产生的影响将非常广泛。通过分析我们确认全国只有个别地区的网络会遭遇此类劫持，我们也在第一时间将这个情况反馈给了友商方面，但造成缓存被劫持的原因没有得到最终反馈，是运营商中间劫持还是个别缓存服务器被入侵导致还不得而知，但是这个案例给我们的CDN服务的安全防护再一次给我们敲响。

[21] 通过流量劫持推广的“伪色播”病毒APP行为流程简图

从这个案例中我们也可以看出，移动端“劫持流量”很重要的一个出口就是“伪”诱导，这些病毒app基本上都是通过短信暗扣、诱导支付、广告弹窗、流量暗刷以及推广安装等手段实现非法牟利。这条移动端的灰色产业链在近两年已经发展成熟，“色播”类样本也成为移动端中感染量最大的恶意app家族分类之一。

[22] “伪色播”病毒APP进行诱导推广

[23] 某“伪色播”病毒app通过短信定制业务进行扣费的接口数据包

以其中某个专门做“色播诱导”业务的广告联盟为例，其背后的推广渠道多达数百个，每年用于推广结算的财务流水超过5000w元。从其旗下的某款色播病毒app的管理后台来看，短短半年内扣费订单数据超过100w条，平均每个用户扣费金额从6~20元不等，抛开其他的流氓推广收益，仅扣费这一项的半年收益总额就过百万，而这只是海量“伪色播”病毒样本中的一个，那整个产业链的暴利收益可想而知。

[25] 某“伪色播”病毒app的扣费统计后台

[26] 某“伪色播”病毒app扣费通道的数据存储服务器

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-40015-3.html