流量劫持

一 、本地流量劫持

1、流氓软件

“网址导航”堪称国内互联网最独特的一道风景线，从hao123开始发扬光大，各大导航站开始成为互联网流量最主要的一个入口点，伴随着的是围绕导航主页链接的小尾巴(推广ID)，展开的一场场惊心动魄的攻防狙击战。一方面国内安全软件对传统IE浏览器的主页防护越来越严密， 另一方面用户体验更好的第三方浏览器开始占据主流地位，国内的流氓木马为了谋求导航量也开始“另辟蹊径”。

2. 持续活跃的广告弹窗挂马 

提到流量劫持，不得不说到近2年时间内保持高度活跃的广告弹窗挂马攻击案例，原本的广告流量被注入了网页木马，以广告弹窗等形式在客户端触发，这属于一种变相的流量劫持，更确切的说应该称之为“流量污染”或“流量投毒”，这里我们将其归类为本地劫持。

二、网络流量劫持 

流量劫持的故事继续发展，当一个网络数据包成功躲开了本地主机系统上的层层围剿，离开用户主机穿行于各个路由网关节点，又开启了一段新的冒险之旅。在用户主机和远程服务器之间的道路同样是埋伏重重，数据包可能被指引向错误的终点(DNS劫持)，也可能被半路冒名顶替(302重定向)，或者直接被篡改(HTTP注入)。 

1. 运营商劫持

提起网络劫持，往往第一个想起的就是运营商劫持，可能每一个上网的用户或多或少都曾经遇到过，电脑系统或手机用安全软件扫描没有任何异常，但是打开正常网页总是莫名其妙弹出广告或者跳转到其他网站。对普通用户来说这样的行为可以说深恶痛绝，企业和正规网站同样也深受其害，正常业务和企业形象都会受到影响，

2. CDN缓存污染

CDN加速技术本质上是一种良性的DNS劫持，通过DNS引导将用户对服务器上的js、图片等不经常变化的静态资源的请求引导到最近的服务器上，从而加速网络访问。加速访问的良好用户体验使CDN加速被各大网站广泛使用，其中蕴含的惊人流量自然也成为流量劫持者的目标。

3. DNS劫持

路由器作为亿万用户网络接入的基础设备，其安全的重要性不言而喻。最近两年曝光的路由器漏洞、后门等案例比比皆是，主流路由器品牌基本上无一漏网。虽然部分厂商发布了修复补丁固件，但是普通用户很少会主动去更新升级路由器系统，所以路由器漏洞危害的持续性要远高于普通PC平台；另一方面，针对路由器的安全防护也一直是传统安全软件的空白点，用户路由器一旦中招往往无法察觉。 

国内外针对路由器的攻击事件最近两年也非常频繁，我们目前发现的攻击方式主要分为两大类，一类是利用漏洞或后门获取路由器系统权限后种植僵尸木马，一般以ddos木马居多，还兼容路由器常见的arm、mips等嵌入式平台；另一类是获取路由器管理权限后篡改默认的DNS服务器设置，通过DNS劫持用户流量，一般用于广告刷量、钓鱼攻击等。