劫持流量原理是什么？关于劫持流量的种类和产生

流量圈的故事很多，劫持与反劫持的故事在很长时间内将继续演绎下去。流量是很多互联网企业赖以生存的基础，通过优秀的产品去获得用户和流量是唯一的正途，用户的信任来之不易，且行且珍惜。那么你的流量都被劫持到哪里去了？是谁劫持了你的流量
[21] 通过流量劫持推广的“伪色播”病毒APP行为流程简图
从这个案例中我们也可以看出，移动端“劫持流量”很重要的一个出口就是“伪色情”诱导，这些病毒app基本上都是通过短信暗扣、诱导支付、广告弹窗、流量暗刷以及推广安装等手段实现非法牟利。这条移动端的灰色产业链在近两年已经发展成熟，“色播”类样本也成为移动端中感染量最大的恶意app家族分类之一。
[22]“伪色播”病毒APP进行诱导推广
IIS7网站监控工具可以做到提前预防各类网站劫持、并且是免费在线查询、适用于各大站长、政府网站、学校、公司、医院等网站。他可以做到24小时定时监控、同时它可以让你知道网站是否被黑、被入侵、被改标题、被挂黑链、被劫持、被墙及DNS是否被污染等等功能、更是拥有独家检测网站真实的完全打开时间、让你作为站长能清楚的知道自己网站的健康情况！
官方地址：IIS7服务器管理工具IIS7服务器管理工具
官方图

这些“伪色播”病毒app安装以后除了各种广告推广行为外，还会在后台偷偷发送短信去定制多种运营商付费业务，并且对业务确认短信进行自动回复和屏蔽，防止用户察觉；有些还集成了第三方支付的SDK，以VIP充值等方式诱导用户付费，用户到头来没看到想要的“福利”不说，吃了黄连也只能是有苦难言。
某“伪色播”病毒app通过短信定制业务进行扣费的接口数据包
[24]病毒app自动回复并屏蔽业务短信，防止用户察觉
以其中某个专门做“色播诱导”业务的广告联盟为例，其背后的推广渠道多达数百个，每年用于推广结算的财务流水超过5000w元。从其旗下的某款色播病毒app的管理后台来看，短短半年内扣费订单数据超过100w条，平均每个用户扣费金额从6~20元不等，抛开其他的流氓推广收益，仅扣费这一项的半年收益总额就过百万，而这只是海量“伪色播”病毒样本中的一个，那整个产业链的暴利收益可想而知。
[25] 某“伪色播”病毒app的扣费统计后台
[26] 某“伪色播”病毒app扣费通道的数据存储服务器
3.DNS劫持
路由器作为亿万用户网络接入的基础设备，其安全的重要性不言而喻。最近两年曝光的路由器漏洞、后门等案例比比皆是，主流路由器品牌基本上无一漏网。虽然部分厂商发布了修复补丁固件，但是普通用户很少会主动去更新升级路由器系统，所以路由器漏洞危害的持续性要远高于普通PC平台；另一方面，针对路由器的安全防护也一直是传统安全软件的空白点，用户路由器一旦中招往往无法察觉。
国内外针对路由器的攻击事件最近两年也非常频繁，我们目前发现的攻击方式主要分为两大类，一类是利用漏洞或后门获取路由器系统权限后种植僵尸木马，一般以ddos木马居多，还兼容路由器常见的arm、mips等嵌入式平台；另一类是获取路由器管理权限后篡改默认的DNS服务器设置，通过DNS劫持用户流量，一般用于广告刷量、钓鱼攻击等。
[27] 兼容多平台的路由器DDOS木马样本
下面这个案例是我们近期发现的一个非常典型的dns劫持案例，劫持者通过路由器漏洞劫持用户DNS，在用户网页中注入JS劫持代码，实现导航劫持、电商广告劫持、流量暗刷等。从劫持代码中还发现了针对d-link、tp-link、zte等品牌路由器的攻击代码，利用CSRF漏洞篡改路由器DNS设置。
[28] 针对d-link、tp-link、zte等品牌路由器的攻击代码
被篡改的恶意DNS会劫持常见导航站的静态资源域名，例如s0.hao123img.com、s0.qhimg.com等，劫持者会在网页引用的jquery库中注入JS代码，以实现后续的劫持行为。由于页面缓存的原因，通过JS缓存投毒还可以实现长期隐蔽劫持。
[29] 网站引用的jquery库中被注入恶意代码
被注入页面的劫持代码多用来进行广告暗刷和电商流量劫持，从发现的数十个劫持JS文件代码的历史变化中，可以看出作者一直在不断尝试测试改进不同的劫持方式。
[30] 在网页中注入CPS广告，跳转到自己的电商导流平台
我们对劫持者的流量统计后台进行了简单的跟踪，从51la的数据统计来看，劫持流量还是非常惊人的，日均PV在200w左右，在2015年末的高峰期甚至达到800w左右，劫持者的暴利收益不难想象。
[31] DNS流量劫持者使用的51啦统计后台
最近两年DNS劫持活动非常频繁，恶意DNS数量增长也非常迅速，我们监测到的每年新增恶意DNS服务器就多达上百个。针对路由器的劫持攻击案例也不仅仅发生在国内，从蜜罐系统和小范围漏洞探测结果中，我们也捕获到了多起全球范围内的路由器DNS攻击案例。
[32] 在国外地区发现的一例路由器CSRF漏洞“全家桶”，被利用的攻击playload多达20多种
下面的案例是2016年初我们的蜜罐系统捕获到一类针对路由器漏洞的扫描攻击，随后我们尝试进行溯源和影响评估，在对某邻国的部分活跃IP段进行小范围的扫描探测后，发现大批量的路由器被暴露在外网，其中存在漏洞的路由器有30%左右被篡改了DNS设置。
抛开劫持广告流量牟利不谈，如果要对一个国家或地区的网络进行大批量的渗透或破坏，以目前路由器的千疮百孔安全现状，无疑可以作为很适合的一个突破口，这并不是危言耸听。
尾记
流量圈的故事还有很多，劫持与反劫持的故事在很长时间内还将继续演绎下去。流量是很多互联网企业赖以生存的基础，通过优秀的产品去获得用户和流量是唯一的正途，用户的信任来之不易，且行且珍惜。文章到此暂告一段落，有感兴趣的地方欢迎留言讨论

劫持流量原理是什么？关于劫持流量的种类和产生相关推荐

淘宝客流量劫持是什么意思？与淘宝劫持百度流量原理相同吗？
淘宝客流量劫持,淘宝客流量劫持是什么意思?以下是小编整理的淘宝客流量劫持是什么意思的内容,又有哪些淘宝客流量劫持的规定,接下来就来给大家做下详细介绍.不明白的小伙伴赶紧来瞧一瞧吧. 淘宝客流量劫持是什 ...
[摘] 什么是网络流量劫持？揭秘详解黑客劫持的攻击手段与防御方法 (一)
流量劫持是一种古老的网络攻击手段,在沉寂了一大段时间后,最近又开始闹的沸沸扬扬.众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道.只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就 ...
什么是网络流量劫持？揭秘详解黑客劫持的攻击手段与防御方法
流量劫持是一种古老的网络攻击手段,在沉寂了一大段时间后,最近又开始闹的沸沸扬扬.众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道.只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就 ...
什么是网络流量劫持？揭秘详解黑客劫持的攻击手段与防御方法 (一)
流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬.众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道.只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改. ...
劫持流量是什么，常见的流量劫持手法有哪些呢？
网络流量劫持是什么?其实就是大坏蛋动用一切技术手段,当亲们输入一个网址然后点击回车的时候,把亲们忽悠另一个网站上去哦,或者向亲们原本想访问的的网站内容里加点花椒大料. IIS7网站监控可以及时防控网站 ...
流量劫持怎么解决方法有那些、流量劫持手法有那些
流量圈的故事很多,劫持与反劫持的故事在很长时间内将继续演绎下去.对于老老实实做人,认认真真做站的朋友来说,好不容易做出了一点成绩,一劫持就又回到解放前了,那么你的流量都被劫持到哪里去了?常见的劫持方法 ...
域名劫持定义及原理、域名被劫持解决办法有那些
域名劫持是互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的IP地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指 ...
浅谈网络劫持的原理及影响
叶孤城岂安科技售前顾问 9年互联网项目支持经验,涉猎各类体育项目无处不在的劫持利用饿了么2块钱的补差价就能划走用户支付宝的2000元.利用订购的机票信息,就能获取到用户信任,骗取财产.总是被 ...
http劫持的原理与过程，HTTP被劫持怎么办？
网站HTTP被劫持怎么办?在上网的过程中,我们经常会遇到DNS或者http被劫持的情况.HTTP劫持对于运营商来说,再简单不过了,当然,HTTP劫持并不是运营商才能做的事,一些黑客.浏览器厂商.手机厂 ...
谷歌PR权重劫持的原理与方法介绍
PageRank简称PR,由于谷歌停止更新,所以现在对这个数值的关注也越来越少,但PR算法却一直应用在谷歌SEO排名中,下面我们来讲解PR劫持的原理与方法. 什么是PR劫持? 简单理解:PR劫持,就是 ...

劫持流量原理是什么？关于劫持流量的种类和产生

劫持流量原理是什么？关于劫持流量的种类和产生相关推荐

最新文章

热门文章