链路层劫持_链路劫持和dns劫持_链路层协议(3)

WINDOWS NT/2000  TTL：128WINDOWS 95/98    TTL：32UNIX             TTL：255LINUX            TTL：64WIN7             TTL：64

（1）HTTPS

https是目前应对链路劫持用的较多的解决方案。https是加密协议，我们随便抓个http包，发现http包里面的所有东西都是明文的，这样就会被，而https协议是加密的。

但是光加密还不够，因为只是application data被加密了，网络层的信息都没有被加密，邪恶势力依然可以用数据包的目的ip作为源ip响应用户。https还有另一大特点是要验证数字证书，为了确保客户端访问的网站是经过CA验证的可信任的网站。所以这就几乎彻底杜绝了链路劫持的可能。

但是https也不是如此完美，虽然https解决了诸多安全问题，但是对性能也有着比较大的影响。链路层劫持一是用户要从http跳转到https，并且要多几次 TLS的握手，这会消耗一定的时间；二是服务器的压力也会增加。链路层劫持除此之外如果使用全站的https，所有页面里面的嵌入资源都要改成https，APP的程序也要进行相应的修改，CDN的所有节点也必须都支持https并且导入证书。所以全站https并不是一件容易的事情，国外的Google、 Facebook、Twitter早已支持全站https，但目前国内大多数公司都没有采用全站https的方式。全站https应该是未来互联网的趋势，关于全站https请参考资料【5】，这里不详细阐述了。

（2）加强监控与检测

目前网上也有一些链路劫持检测方法，如使用libpcap判断链路层劫持，其原理是在链路层劫持的设备缺少仿造协议头中ttl值的程序（或者说，伪造流量要优先真实流量到达客户电脑，所以没有机会去伪造ttl值）。电脑每收到一个数据包，便交给程序，如果判断某一IP地址流量的ttl值与该IP前一次流量的ttl值不同且相差5以上，便判定此次流量为在链路层中伪造的。有关代码请参考【6】。

（3）其他/产品

目前腾讯做的比较领先，有链路劫持检测的相关发明专利。

0x05总结

链路层劫持较为底层，而且很多涉及运营商行为，所以不可能从根本上来防止（或者找到运营商，或者抓住黑客，当然运营商你是战胜不了的你懂得）。个人认为应对链路劫持一般可以考虑几个维度：业务层面、技术层面。所有的安全都是为业务服务的，在确保业务的前提下，做好安全防护措施。最重要的是技术层面加强有效检测、监控，包括对有关攻击技术的研究、对日志流量等数据的分析。当然，对企业来讲，我们只能够尽量做好自身，对于我们不可控的因素往往无能为力。总之，广域网一点都不安全，所以敏感信息传输一定要加密，还要度加密。

就到这里，请各位看官批评指正。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-22984-3.html