当前位置 博文首页 > 文章内容

    流量劫持那些事,流量劫持过程

    作者:..... 栏目:网站安全 时间:2020-11-20 15:56:52

         在流量经济的大时代,有人提出了“流量是一切生意的本质”这一概念。既然流量能带来实打实的金钱,就会有人围绕其动歪脑筋,流量劫持就是其中的典型代表。从判决书曝光的案件情况看,一些黑灰产人员利用流量劫持刷广告一个月就可以净赚30余万。整个流量劫持黑产给企业造成的损失可想而知。那流量劫持到底是什么呢?

    一、什么是流量劫持

         要弄懂流量劫持,我们首先要搞懂这里的流量到底指的是什么?

         自手机上网功能普及后,流量已经成为大多数人所熟知的概念。但在流量劫持语境下,流量的内涵更接近我们日常生活中常提到的人流量、车流量,指的是用户数量、浏览次数、访问时长、软件下载量等多个方面,属于衡量产品热度、网民关注度的概念。大人流可以给商场带来生意,高关注度同样可以给互联网产品带来巨大的商业利益。

         所谓劫持,则是黑客通过各种各样的技术手段强制网民离开原定的访问目的地或访问渠道。例如,网民本想访问A网站,却发现浏览器打开的是B网站;本想直接访问A网站,却发现浏览器弹出了一个额外的页面,然后这个额外的页面又变成了A网站。通过目的地和渠道的改变,黑客可以从金主那里拿到巨额利益。

         近几年,随着业内对流量劫持认识的深入,有时会有人把不正当方法引流的行为算作流量劫持。但大多数不正当引流只是通过弹窗、联想词、特殊关键词等方式使网民自主地、临时性地、偶然地改变访问对象,并没有完全控制用户的访问。因此,在笔者看来,这并不能算作流量劫持。

    二、谁动了我的流量

         理论上讲,凡是有流量变现渠道的人,都有可能实施流量劫持。但从现实情况看,网络推广、网络游戏、门户网站/app等行业是流量劫持的重灾区。这与流量在这些行业的价值最高有关。而从流量劫持的实施者来看,主要来自以下几个群体:

    1、竞争对手

         最高法院第102号指导案例黄某某破坏计算机信息系统案就是这方面的典型代表性。5W网页导航网站雇佣黑客,将2345网页导航的用户劫持到自己的网站,从而增加自己的用户数量。

    2、来自网盟广告经营者

         网盟广告是中国互联网行业免费模式得以延续的重要商业模式,百度网盟、腾讯广点通、阿里妈妈都是其中的优势品牌。除了大厂的网盟广告,很多中小网盟存在经营困难。为了获取更多的利益,他们就会通过劫持大厂流量的方式来增加自身收入。

    3、生态内的一些合作者

         除了外部,还有一些内部合作者会实施劫持,这种现象多发生在流量才买渠道。有些流量渠道为了增加自身收入,会通过一些方式将公司的自然流量劫持成渠道流量,给公司额外增加流量采购费用。

    4、中小网站的劫持

         一些中小网站为了留住用户或者提升推广效果,也会与黑产勾结,在自有的网站上挂木马,实现将客户留在或者引导至特定落地页的目的。5、黑产进行流量倒卖

         除了有目的劫持,还有一些黑产如同控制肉鸡一般,实施的是无差别攻击,先控制一定数量的设备,再根据客户需求将流量引导致特定的地方。

    三、流量劫持的手法

         流量在信息传输高速公路上飞驰,任何一个节点都有可能成为流量劫持黑客的攻击目标。所以如果根据手段进行分类,我们会发现流量劫持的种类无穷无尽。而根据目的的不同,对每个节点的攻击手段也是多种多样的。

         根据黑客攻击的环节或者说流量流失的环节,可以分为终端劫持、链路劫持、服务端劫持:

         1、所谓终端劫持就是黑客通过攻击运营商DNS服务器或者网民的wifi设备,使网民对特定网站的访问请求被错误解析到其他地址或者使请求失去响应,其效果就是对特定的网络不能反应或访问的是假网址。

         2、链路劫持则是运营商或者黑客针对传输过程中的数据,通过在用户至服务器之间植入恶意设备或者控制网络设备的手段,监听、篡改用户和服务器之间的数据,达到窃取用户重要数据(包括用户密码,用户身份数据等等)、修改用户访问页内容的目的。

         3、服务端劫持指的是黑客对用户手机、pc或者说浏览器的劫持。常见的是,黑客在网站挂载木马程序,使用户无法正常退出该网站或者推出到家网站。

         除了上述分类,从劫持所呈现的效果,可以分为访问劫持、回退劫持和广告劫持:

         1、访问劫持:改变了用户的访问目的地或访问路径。

         2、回退劫持:导致用户无法正常返回原始页面或者回退到一个假网站页面,假网站以仿冒搜索引擎为主。

         3、广告劫持:将正常网盟广告替换为自有或者。

    四、到底有没有被劫持

         流量劫持诞生于PC时代,经过十余年的发展不仅没有被打绝,反而愈演愈烈。原因在于其非常隐蔽,难以被发现。大部分流量劫持发生在互联网企业自有生态之外,黑产的攻击对象从运营商的DNS服务器到分发渠道的相关设备再到用户的手机或PC都有,唯独很少直接针对企业自己的设备或产品。在这种情况下,我们可能就需要通过非技术手段来弥补这方面的不足。

         一是安全情报合作。像BAT这样的大企业都有自己的安全部,可以从技术层面专门对流量进行监控,但很多中小企业可能没有足够的资源去培养专门的人才,这个时候可以通过与一些靠谱的网络安全服务公司合作,使用他们的产品或者情报来及时发现异常并止损,这些公司也可以帮忙做溯源,有利于案件本身的侦查。

         二是使用一些MA,也就是管理会计的知识,通过对每月或每季度流量采购费用、广告费用等收入、支出成本的解读及时发现异常情况,并有针对性的开展排查。

         三是注重对用户投诉的梳理。刚才欧阳律师也提到了,现有的流量劫持案件很多都来源于用户投诉。以回退劫持为代表的显性劫持行为在用户段的感知能力是很强的,也很伤用户体验,所以用户会为企业提供很多有益的情报线索。