蘆天亮

(中國人民公安大學(xué)信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院， 北京 100038)

0 引言

網(wǎng)絡(luò)空間中流量體現(xiàn)在用戶數(shù)量、瀏覽次數(shù)、訪問時長、軟件下載量等多個方面。網(wǎng)絡(luò)流量是各類應(yīng)用業(yè)務(wù)的數(shù)據(jù)承載和基礎(chǔ)，代表用戶關(guān)注度、企業(yè)影響力以及經(jīng)濟(jì)利益等多個方面，因此網(wǎng)絡(luò)流量的競爭異常激烈。大多數(shù)網(wǎng)站通過提供新聞、游戲和搜索等免費(fèi)資源或服務(wù)，吸引用戶訪問提高網(wǎng)站流量，利用廣告推廣等方式盈利，并且通過加入廣告聯(lián)盟以獲得更高的收益。

部分企業(yè)為了擴(kuò)大知名度，通過向第三方網(wǎng)站支付費(fèi)用將廣告在其網(wǎng)頁上展示。利用廣告聯(lián)盟等渠道能獲得更佳的推廣效果，但同時需要支出一筆不小的廣告費(fèi)用。一些公司為了節(jié)約開支或?qū)Ω偁幃a(chǎn)品實(shí)施壓制，選擇流量劫持等網(wǎng)絡(luò)攻擊手段，在用戶不知情或未授權(quán)的情況下實(shí)施惡意的網(wǎng)頁跳轉(zhuǎn)、不斷彈框、插入廣告和強(qiáng)制下載軟件等行為。這也催生了流量攻擊地下產(chǎn)業(yè)鏈，并且影響面和涉及金額巨大，僅DNS劫持一項，每天被惡意劫持的流量至少涉及上千萬個IP[1]。

流量安全問題很多情況下是系統(tǒng)安全加固和用戶防護(hù)意識無法解決的，并且隱蔽性和欺騙性極高。對于運(yùn)營商流量劫持等網(wǎng)絡(luò)環(huán)節(jié)的流量攻擊手段，用戶端無法有效阻斷。近幾年，流量攻擊的技術(shù)手段不斷翻新，包括用戶接入設(shè)備攻擊、DNS解析劫持、路由器流量劫持，以及服務(wù)器端攻擊等，并且攻擊對象從PC端向移動端遷移。

關(guān)于流量安全的事件以及基于流量劫持實(shí)施的不正當(dāng)競爭案例不斷曝光。即便有了政府部門的監(jiān)管和法律的約束，流量攻擊仍然是網(wǎng)絡(luò)空間中難以根治的“毒瘤”，嚴(yán)重侵害了用戶的權(quán)益，損害了被攻擊企業(yè)的利益和聲譽(yù)，擾亂了網(wǎng)絡(luò)空間的公平競爭秩序。為了保證互聯(lián)網(wǎng)經(jīng)濟(jì)市場秩序的健康有序發(fā)展，保證優(yōu)質(zhì)公司的合法利益，維護(hù)用戶的選擇權(quán)和知情權(quán)，應(yīng)當(dāng)從技術(shù)、立法和行政監(jiān)管等方面對流量劫持等網(wǎng)絡(luò)流量不正當(dāng)行為進(jìn)行有效的規(guī)范。

1 流量攻擊的網(wǎng)絡(luò)位置

互聯(lián)網(wǎng)是一個典型的通信系統(tǒng)，包括信源、信道和信宿。在用戶點(diǎn)擊網(wǎng)頁鏈接過程中，用戶端(信源)向服務(wù)器發(fā)出請求，該請求基于TCP/IP協(xié)議棧網(wǎng)絡(luò)流量進(jìn)行承載，經(jīng)過接入網(wǎng)絡(luò)(包括無線路由器、3G或4G移動通信網(wǎng)絡(luò)基站等)和運(yùn)營商核心網(wǎng)絡(luò)等(信道)傳遞，最終到達(dá)服務(wù)端(信宿)；服務(wù)端根據(jù)用戶端請求做出響應(yīng)，將應(yīng)答結(jié)果以網(wǎng)絡(luò)流量形式經(jīng)傳輸網(wǎng)絡(luò)原路返回用戶端，此過程中服務(wù)端是信源，用戶端設(shè)備是信宿。在該雙向通信系統(tǒng)流量往返過程中的每一個環(huán)節(jié)都存在流量安全的風(fēng)險，流量監(jiān)聽、流量劫持、數(shù)據(jù)篡改、身份仿冒及內(nèi)容欺騙等攻擊手段層出不窮。

根據(jù)流量攻擊發(fā)生的關(guān)鍵位置，可以將流量攻擊類型分為三類，包括：用戶端流量攻擊、傳輸網(wǎng)絡(luò)流量攻擊和服務(wù)端流量攻擊，如圖1所示。

圖1 流量攻擊發(fā)生位置

用戶端流量攻擊，主要針對用戶系統(tǒng)或軟件進(jìn)行劫持，包括：流氓軟件、主頁篡改、hosts文件劫持、瀏覽器插件劫持等，技術(shù)復(fù)雜，形式多樣[2]。相比于傳輸網(wǎng)絡(luò)和服務(wù)端大多情況下的無能為力和毫不知情，對于用戶端的本地流量劫持攻擊，用戶可借助安全軟件對系統(tǒng)進(jìn)行加固，檢測和阻斷部分流量劫持行為。

傳輸網(wǎng)絡(luò)流量攻擊，主要包括兩種手段：(1)通過DNS劫持等技術(shù)將用戶誘騙至惡意網(wǎng)站；(2)通過鏈路劫持等手段將服務(wù)端返回的數(shù)據(jù)進(jìn)行篡改和替換，主要針對HTTP協(xié)議。實(shí)施DNS劫持的網(wǎng)絡(luò)位置較多，可以是用戶接入網(wǎng)絡(luò)的無線路由器、企業(yè)或單位網(wǎng)關(guān)以及電信運(yùn)營商網(wǎng)絡(luò)等。鏈路劫持的攻擊者通過在網(wǎng)關(guān)等位置監(jiān)聽用戶訪問請求，并冒充服務(wù)器將篡改的數(shù)據(jù)發(fā)送給用戶，如注入JS腳本、替換下載文件。

服務(wù)端流量攻擊，該方式可影響更大范圍的用戶，主要是針對搜索引擎結(jié)果進(jìn)行攻擊，包括惡意霸屏和惡意點(diǎn)擊等針對服務(wù)器的攻擊手段。通過程序攻擊搜索引擎排名算法，進(jìn)而破壞網(wǎng)站排名規(guī)則，實(shí)現(xiàn)霸屏；利用網(wǎng)頁鏈接點(diǎn)擊軟件，模擬用戶點(diǎn)擊企業(yè)網(wǎng)站，擾亂正常搜索排名。

2 流量攻擊的技術(shù)原理

2.1 用戶端流量攻擊

(1)利用流氓軟件實(shí)施流量劫持

作為最簡單也是最直接的流量劫持手段，流氓軟件在廣告惡意推廣和商業(yè)不正當(dāng)競爭中應(yīng)用較早，主要通過主頁篡改和鎖定、網(wǎng)頁劫持、廣告彈窗、后臺安裝等方式實(shí)現(xiàn)獲取推廣流量。流氓軟件通常具有惡意安裝、難以卸載和信息收集等特征。2000年后，中國互聯(lián)網(wǎng)便開始充斥著形形色色的流氓軟件，尤其是各類插件泛濫并惡性競爭，造成用戶電腦資源消耗，甚至死機(jī)等。這一時期出現(xiàn)了一批知名的流氓軟件，包括3721上網(wǎng)助手、Yahoo助手、青娛樂等。

2005年，流氓軟件被納入到殺毒軟件的檢測范圍內(nèi)，大型互聯(lián)網(wǎng)公司或者企業(yè)在流氓軟件方面有所收斂，但是對于小型公司或黑客等地下產(chǎn)業(yè)鏈來說，流氓軟件仍然是被用于流量劫持和廣告推廣的主要手段。而且大部分流氓軟件的惡意模塊和配置都是通過云端進(jìn)行控制的，可以分時段、分地區(qū)、分場景投放和觸發(fā)[2]。

很多互聯(lián)網(wǎng)公司的產(chǎn)品存在著激烈的競爭關(guān)系，包括搜索引擎、網(wǎng)絡(luò)游戲、安全軟件、瀏覽器、社交工具等。競爭公司之間為了搶占用戶資源、推廣服務(wù)和產(chǎn)品，會借助用戶端已安裝的自家軟件對競爭對手實(shí)施壓制。流量劫持的攻擊方通常利用不正當(dāng)手段，將對手產(chǎn)品的用戶惡意引導(dǎo)到自家網(wǎng)站。

2012年3月，百度的部分搜索結(jié)果被360安全衛(wèi)士插標(biāo)，并且引導(dǎo)用戶安裝360安全瀏覽器。北京市一中院認(rèn)為，360公司通過修改百度網(wǎng)站搜索框中的下拉提示詞劫持流量的行為違反了誠實(shí)信用原則，判決被告停止侵權(quán)、消除影響、賠償原告經(jīng)濟(jì)損失及合理支出45萬元[3]。

2016年，當(dāng)用戶在360搜索頁面中使用搜狗輸入法進(jìn)行輸入時，點(diǎn)擊搜狗輸入法提供的相應(yīng)候選詞，會直接跳轉(zhuǎn)到搜狗搜索的界面上，實(shí)現(xiàn)了從360搜索引擎跳轉(zhuǎn)到搜狗搜索引擎的操作[4]。

(2)利用網(wǎng)頁掛馬實(shí)施流量劫持

網(wǎng)頁掛馬是一種通過攻擊瀏覽器或插件程序的漏洞，向用戶設(shè)備中植入木馬、流氓軟件等惡意程序的手段。當(dāng)用戶訪問掛馬網(wǎng)頁時，網(wǎng)頁木馬就會利用系統(tǒng)或者瀏覽器的漏洞自動下載和執(zhí)行惡意程序。近兩年，廣告彈窗掛馬攻擊高度活躍，攻擊者在原本的廣告流量中植入網(wǎng)頁木馬，以彈窗等形式在用戶端觸發(fā)。

很多大型的網(wǎng)站用戶數(shù)目龐大，一旦被黑客入侵并植入惡意程序，其對互聯(lián)網(wǎng)用戶造成的損失和影響將是巨大的。所以，網(wǎng)頁掛馬的對象不再局限于色情網(wǎng)站、垃圾站群等網(wǎng)站，近幾年如酷狗音樂、暴風(fēng)影音等正規(guī)網(wǎng)站和軟件的廣告流量也曾經(jīng)被劫持掛馬。

2015年12月，“叮叮天氣”因劫持上百家知名網(wǎng)站插入廣告并掛馬而被曝光。當(dāng)用戶訪問這些網(wǎng)站時，“叮叮天氣”會從其服務(wù)器上拉取廣告代碼并插入到頁面中。為了通過裝機(jī)量獲得更高的收益，“叮叮天氣”還利用Flash軟件漏洞，自動下載并安裝數(shù)十款流氓軟件。

2.2 傳輸網(wǎng)絡(luò)流量攻擊

(1)運(yùn)營商流量劫持

截止2017年6月，中國互聯(lián)網(wǎng)網(wǎng)民數(shù)量已經(jīng)達(dá)到了7.51億[5]。網(wǎng)民需要通過網(wǎng)絡(luò)運(yùn)營商提供的接入服務(wù)與互聯(lián)網(wǎng)相連。網(wǎng)絡(luò)運(yùn)營商掌握著網(wǎng)民大量的上網(wǎng)信息，并且擁有得天獨(dú)厚的網(wǎng)絡(luò)監(jiān)聽和流量篡改的優(yōu)勢。因此，其背后產(chǎn)生的利益將是巨大的，近些年不斷曝光網(wǎng)絡(luò)運(yùn)營商參與流量劫持的案件。2015年年底，騰訊、小米科技、360等6家互聯(lián)網(wǎng)公司共同發(fā)表了一篇抵制運(yùn)營商流量劫持的聯(lián)合聲明。

目前，實(shí)施運(yùn)營商流量劫持的技術(shù)途徑是監(jiān)聽用戶HTTP GET上行請求，篡改正常返回的信息，在原真實(shí)頁面插入惡意廣告和竊取用戶重要數(shù)據(jù)，從而實(shí)現(xiàn)隱蔽的劫持互聯(lián)網(wǎng)網(wǎng)站信息。由于缺乏數(shù)據(jù)加密和身份認(rèn)證等有效的安全保護(hù)，明文傳輸?shù)腍TTP流量非常容易遭到劫持和篡改。

2017年1月，國內(nèi)知名財經(jīng)類資訊APP財聯(lián)社的運(yùn)營公司上海正見文化傳播有限公司就中國聯(lián)通劫持該APP流量并插入廣告的問題正式向北京市西城區(qū)人民法院起訴中國聯(lián)通。和大多數(shù)運(yùn)營商劫持情況基本相似，聯(lián)通劫持財聯(lián)社APP內(nèi)嵌HTML5頁面并插入奪寶類的垃圾廣告[6]。

(2)DNS域名劫持

DNS劫持指的是用戶在DNS域名解析時，得到的IP地址是被惡意篡改過的虛假地址，用戶被引導(dǎo)到錯誤網(wǎng)站。

DNS劫持的具體實(shí)現(xiàn)手段有兩種。(1)針對用戶端的DNS欺騙，攻擊者偽裝成DNS服務(wù)器向發(fā)出請求主機(jī)發(fā)送虛假響應(yīng)報文，由于DNS缺乏身份校驗機(jī)制，用戶端不能識別出這個報文是否來自真實(shí)的DNS服務(wù)器。(2)針對DNS服務(wù)器的攻擊。DNS服務(wù)器存有大量域名和IP地址記錄，一旦這些記錄被攻擊者惡意篡改，將造成互聯(lián)網(wǎng)所有用戶訪問被引導(dǎo)至錯誤IP地址。

2010年1月12日，由于美國域名注冊服務(wù)商Register.com Inc.的重大疏忽，致使百度域名遭到攻擊者惡意篡改，全球多處用戶不能訪問百度網(wǎng)站，故障持續(xù)數(shù)小時。

(3)路由器劫持

路由器是互聯(lián)網(wǎng)絡(luò)的交通樞紐。路由器被劫持的原因有多種，路由器自身存在一些安全漏洞，利用這些漏洞黑客可以獲得路由器控制權(quán)。另外，用戶對路由器的安全配置不當(dāng)，如登陸賬號和密碼太過簡單等,擁有路由器的控制權(quán)限，實(shí)現(xiàn)對整個無線網(wǎng)絡(luò)接入用戶的流量控制。

通過劫持路由器，可以監(jiān)控全網(wǎng)用戶的上網(wǎng)情況，竊取用戶信息。不僅如此，路由器被劫持之后，用戶在正常上網(wǎng)的過程中，瀏覽器會不斷地彈出廣告，并且上網(wǎng)速度會一定程度的受到影響。

2015年11月，浦東法院判決了全國首起“流量劫持”刑案。付某、黃某等人篡改用戶路由器的DNS設(shè)置，進(jìn)而使用戶登錄“2345.com”等導(dǎo)航網(wǎng)站時，跳轉(zhuǎn)至其設(shè)置的“5w.com”導(dǎo)航網(wǎng)站。經(jīng)查，兩名被告人短時間內(nèi)違法所得高達(dá)75.47萬元人民幣。法院以破壞計算機(jī)信息系統(tǒng)罪對付某等人定罪處罰[7]。

2.3 服務(wù)端流量攻擊

(1)惡意霸屏

惡意霸屏主要是針對各大搜索引擎的排名算法進(jìn)行攻擊，破壞正常網(wǎng)站的排名規(guī)則，通常用于公司惡意推廣產(chǎn)品、服務(wù)等廣告。當(dāng)用戶通過某些特定關(guān)鍵字進(jìn)行搜索時，搜索結(jié)果的首頁、甚至前幾頁都大量鋪滿其公司廣告信息。

從公司廣告推廣的性價比來看，惡意霸屏相比于搜索引擎的競價排名，無論從產(chǎn)品推廣效果還是費(fèi)用開支均有極大的優(yōu)勢和誘惑性，因此霸屏服務(wù)的市場需求和潛在用戶群還是十分巨大的。為了獲得不當(dāng)?shù)慕?jīng)濟(jì)利益，很多公司紛紛推出霸屏服務(wù)，提高企業(yè)用戶信息的曝光度，帶來流量和銷量的提升。

黑帽SEO蜘蛛池是實(shí)現(xiàn)惡意霸屏的主要手段。黑帽SEO的方法有很多，比如隱藏關(guān)鍵字、隱藏網(wǎng)頁、堆砌關(guān)鍵字、橋頁、寄生蟲等。利用大型網(wǎng)站的高權(quán)重網(wǎng)頁，蜘蛛池對其發(fā)布大量外鏈，欺騙搜索引擎使其認(rèn)為大型網(wǎng)站的動態(tài)頁面含有推廣關(guān)鍵詞。通過該種方式吸引搜索引擎快速收錄并提高網(wǎng)站的排名。

2017年6月，公安機(jī)關(guān)抓獲江蘇揚(yáng)州的一家網(wǎng)絡(luò)科技公司負(fù)責(zé)人劉某等25人，查封扣押服務(wù)器八十余臺。據(jù)調(diào)查，這家公司為客戶非法提供SEO(優(yōu)化排名)服務(wù)，該經(jīng)營行為已經(jīng)構(gòu)成涉嫌破壞計算機(jī)信息系統(tǒng)犯罪。據(jù)劉某交代，其擁有一萬多名客戶，客戶每個月交500元就能保證相關(guān)鏈接保持在前三頁[8]。

(2)惡意點(diǎn)擊

惡意點(diǎn)擊是指利用自動化腳本、計算機(jī)程序或者雇傭自然人來模仿正當(dāng)合法的網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)鏈接進(jìn)行大量點(diǎn)擊。當(dāng)前，惡意點(diǎn)擊或模擬點(diǎn)擊的主要場景為刷搜索排名，增加網(wǎng)站點(diǎn)擊量。

搜索引擎排名會參考用戶的點(diǎn)擊情況，一個網(wǎng)站被點(diǎn)擊的次數(shù)越多說明這個網(wǎng)站越受用戶歡迎，通過不同的IP使用搜索引擎搜索某一關(guān)鍵詞并點(diǎn)擊需要刷的網(wǎng)站，該網(wǎng)站的點(diǎn)擊次數(shù)越多，搜索引擎會認(rèn)為這個站點(diǎn)對用戶幫忙越大，其排名也會相應(yīng)地提高。

刷搜索引擎排名的原理就是模仿大量真實(shí)IP搜索某個關(guān)鍵詞并點(diǎn)擊目標(biāo)網(wǎng)站。在各大站長BBS和一些電商網(wǎng)站上隨處可見刷搜索引擎排名的廣告，此類廣告一般宣稱“7天上首頁”“網(wǎng)站快速排名首頁”等，根據(jù)實(shí)際效果收取費(fèi)用。當(dāng)然也有很多免費(fèi)的刷排名軟件，這些軟件會在用戶的終端上模擬搜索點(diǎn)擊。但普通用戶下載安裝后自己刷排名卻沒有太大效果，這是因為這些軟件靠著免費(fèi)的旗號積累了大量用戶，用戶在使用免費(fèi)軟件的同時也是在給黑產(chǎn)掛機(jī)為付費(fèi)用戶刷排名，在大量的IP用戶的海量模擬點(diǎn)擊下，作弊關(guān)鍵詞的排名會迅速的提升。

(3)流量洪水攻擊

流量洪水攻擊，又稱拒絕服務(wù)攻擊，是指攻擊者通過向被攻擊服務(wù)器發(fā)送大量的請求，耗盡服務(wù)器資源，導(dǎo)致正常用戶無法訪問。2016年，CNCERT監(jiān)測到1Gbps以上的分布式拒絕服務(wù)攻擊(DDoS)事件日均452起，其中100Gbps以上攻擊事件數(shù)量日均達(dá)到6起以上[9]。

DDoS攻擊正呈現(xiàn)出大流量、多手段、IOT化的趨勢。被黑客控制的“肉雞”，除了個人計算機(jī)和IDC服務(wù)器外，還包括攝像頭等智能設(shè)備。企業(yè)之間的惡意競爭是DDoS的主要根源，因此熱門領(lǐng)域和高利潤行業(yè)是DDoS攻擊的重災(zāi)區(qū)[10]。

2.4 移動設(shè)備流量攻擊

移動互聯(lián)網(wǎng)發(fā)展迅猛，智能移動設(shè)備迅速普及，移動網(wǎng)民數(shù)目不斷攀升。由此而引發(fā)的移動安全問題也日益凸顯，尤其近幾年，關(guān)于手機(jī)等移動設(shè)備流量劫持的案例不計其數(shù)，主要手段包括以下幾類。

(1)APK安裝劫持

利用Android安裝劫持，在用戶下載或升級APK應(yīng)用過程中，用戶的請求都會被重定向到虛假服務(wù)器上，該惡意服務(wù)器會返回給用戶被替換過的APK下載地址，在用戶毫不知情的情況下正常的APK應(yīng)用程序被修改或者替換為惡意軟件。

2017年7月，鳳凰新聞將“今日頭條”告上法庭，訴訟理由是以流量劫持為手段的“不正當(dāng)競爭”。經(jīng)分析，發(fā)現(xiàn)原本訪問鳳凰網(wǎng)的部分流量被惡意劫持，直接轉(zhuǎn)至“toutiao.com”和“pstatp.com”，用戶更新、下載“鳳凰新聞”移動客戶端的訴求直接被替換成了訪問下載“今日頭條”客戶端[11]。

(2)APK二次打包

二次打包是指對APK安裝文件反編譯后加入廣告插件或惡意代碼等程序，重新生成一個新APK文件并誘騙用戶下載安裝，該種手段偽裝性極強(qiáng)。在開放的Android操作系統(tǒng)中，盜版APP成為木馬植入、廣告推廣、隱私竊取等違法行為的重要途徑?！按虬h”通過破解正規(guī)公司的熱門APP并植入廣告或病毒程序來賺取非法收入，像“憤怒的小鳥”等火爆游戲無一幸免。

手機(jī)APK“二次打包”灰色產(chǎn)業(yè)鏈迅速形成，以下載安裝量等形式計費(fèi)，一個APP下載的價格在1～4元。

為了避免被二次打包，有些開發(fā)者會對APK文件進(jìn)行代碼混淆，但代碼混淆只是增加代碼的閱讀難度，并不能真正阻止攻擊者的逆向破解。

(3)搜素引擎回退劫持

近兩年，在移動端使用搜索引擎時經(jīng)常會發(fā)生回退劫持的現(xiàn)象。搜索引擎劫持代碼一般由JavaScript所寫，可以監(jiān)控并劫持用戶點(diǎn)擊瀏覽器返回按鈕的動作，將頁面跳轉(zhuǎn)到惡意網(wǎng)址，從而達(dá)到搜索引擎劫持效果。

在搜索結(jié)果頁的部分廣告客戶網(wǎng)站內(nèi)帶有劫持搜索引擎流量的惡意代碼，用戶點(diǎn)擊進(jìn)入該網(wǎng)站后會無法通過返回按鈕后退到搜索結(jié)果頁。根據(jù)后退的結(jié)果，可以分為兩種。一是后退到了某一公司網(wǎng)站，并陷入循環(huán)。另一種是后退到虛假的搜索引擎頁面，在此虛假搜索界面上進(jìn)行任何的搜索，都會返回到包含該公司網(wǎng)站的搜索界面上。

以第二種為例，其主要實(shí)現(xiàn)手段是在用戶訪問的搜索結(jié)果的網(wǎng)頁中嵌入惡意的JS劫持代碼，該代碼會將在后臺保存訪問過URL的History對象，篡改為希望用戶后退到的惡意網(wǎng)址，如圖2中的網(wǎng)站kcgsw.cn，并且該網(wǎng)站頁面布局會高度仿冒官方搜索引擎。當(dāng)用戶誤以為是搜索引擎官方頁面而在該網(wǎng)站搜索時，結(jié)果會出現(xiàn)更多的惡意廣告鏈接，如圖3所示。常用的手機(jī)搜索引擎，如搜狗、百度和360等均會受到此種類型的惡意代碼影響。

圖2 回退進(jìn)入虛假頁面

圖3 再次搜索后惡意推廣

3 流量攻擊的地下產(chǎn)業(yè)鏈

流量攻擊現(xiàn)象發(fā)生在用戶上網(wǎng)過程中的各個環(huán)節(jié)，國內(nèi)的每一個互聯(lián)網(wǎng)用戶幾乎都有過被流量劫持的遭遇，劫持案件頻發(fā)的背后反映的是劫持成本極低，收益卻很高的現(xiàn)實(shí)，在光鮮亮麗的網(wǎng)絡(luò)背后充斥的是一條龐大并且完整的流量攻擊利益鏈條，并且流量攻擊利益鏈條越來越公開化。在淘寶上搜索“流量推廣”“廣告植入”“網(wǎng)站排名”等關(guān)鍵字能檢索出數(shù)十頁上千個提供相關(guān)服務(wù)的店鋪。同樣，在QQ上搜索“流量劫持”，便會發(fā)現(xiàn)數(shù)十個流量劫持的群組，并且很多聲稱可以付款進(jìn)行流量攻擊和劫持的黑客。這些流量劫持的群組中大多數(shù)都超過了1 000人，可以提供DNS劫持、廣告彈窗、跳轉(zhuǎn)劫持等服務(wù)，其中有人在群中表示“收購流量”。

流量安全問題背后隱藏著巨大的經(jīng)濟(jì)利益鏈條。據(jù)媒體報道，PC端網(wǎng)頁上的橫幅點(diǎn)擊一次可獲利0.15元，廣告貼片為0.12元或0.18元；網(wǎng)頁富媒體每千次展示可獲利2.2元，對聯(lián)廣告2.1元，彈窗5.5元；移動端APP底端懸浮廣告每千次展示可獲利2.5元。流量劫持的市場行情是每天每千次IP的價格為35～70元。據(jù)統(tǒng)計，做流量劫持買賣工作的黑客收入至少可達(dá)每月3萬元[1]。

在網(wǎng)絡(luò)空間中用戶流量就等于金錢收益，部分企業(yè)由于自身實(shí)力等原因無法通過正常渠道獲得流量時，為了達(dá)到產(chǎn)品推廣和占有用戶市場等目的，不惜冒著觸犯法律底線的風(fēng)險，花費(fèi)高昂價格直接購買或雇人實(shí)施不正當(dāng)?shù)牧髁抗簟?/p>

如前文所述，流量攻擊的類型有多種，無論流量劫持的形式和種類如何，其背后的地下產(chǎn)業(yè)鏈均具有相似的結(jié)構(gòu)和流程，如圖4所示，產(chǎn)業(yè)鏈中主要參與的人員包括：技術(shù)人員、攻擊者、購買方和套現(xiàn)者。

圖4 流量攻擊的地下產(chǎn)業(yè)鏈

在流量攻擊的地下產(chǎn)業(yè)鏈流動過程中，技術(shù)開發(fā)人員并不直接參與攻擊和劫持過程，而是通過向攻擊者提供攻擊工具和技術(shù)手段獲利；攻擊者利用技術(shù)人員提供的軟件工具進(jìn)行實(shí)際攻擊和流量獲??；服務(wù)購買方通過向攻擊者支付電子貨幣獲得其服務(wù)；套現(xiàn)者由專門人員進(jìn)行電子貨幣等虛擬財產(chǎn)的套現(xiàn)。所有的收益由整條產(chǎn)業(yè)鏈上的所有人員進(jìn)行分成。

4 流量攻擊的技術(shù)應(yīng)對策略

針對流量攻擊發(fā)生的網(wǎng)絡(luò)位置，我們從用戶終端防護(hù)、傳輸網(wǎng)絡(luò)防護(hù)和服務(wù)器防護(hù)3個方面進(jìn)行技術(shù)應(yīng)對。

4.1 用戶終端防護(hù)

主要面向用戶計算機(jī)和手機(jī)等終端設(shè)備，對流氓軟件、瀏覽器劫持、網(wǎng)頁掛馬等攻擊加強(qiáng)防護(hù)。采取多種防護(hù)相結(jié)合，包括：設(shè)置復(fù)雜密碼并定期更新，防止被破解后植入惡意軟件；使用殺毒軟件對流氓軟件和惡意插件進(jìn)行掃描和清除；使用系統(tǒng)更新和固件升級等手段，修復(fù)設(shè)備、操作系統(tǒng)和軟件安全漏洞；對用戶角色和程序配置嚴(yán)格的權(quán)限和訪問控制策略，限定對網(wǎng)絡(luò)和系統(tǒng)核心數(shù)據(jù)的訪問。

4.2 傳輸網(wǎng)絡(luò)防護(hù)

用戶瀏覽網(wǎng)頁和下載文件過程中主要是基于HTTP協(xié)議，HTTP協(xié)議屬于明文傳輸協(xié)議，對通信對方身份缺乏認(rèn)證，并且對傳輸?shù)臄?shù)據(jù)缺乏加密和篡改檢測，這是用戶數(shù)據(jù)在網(wǎng)絡(luò)傳輸過程中被劫持和插入廣告的根源。建議將網(wǎng)站等服務(wù)遷移到HTTPS協(xié)議，HTTPS依靠證書來驗證服務(wù)器的身份，并對用戶和服務(wù)器之間的通信加密，通過以上技術(shù)手段能夠有效的抵御針對網(wǎng)站的流量劫持等攻擊。另外，要盡量做到全站HTTPS(即Always On SSL)來保證用戶機(jī)密信息和交易安全，防止會話劫持和中間人攻擊。

4.3 服務(wù)器防護(hù)

服務(wù)器端防護(hù)主要包括：抵御黑客入侵，加強(qiáng)網(wǎng)站和數(shù)據(jù)庫安全防護(hù)；加強(qiáng)對DoS/DDoS的檢測和流量過濾，防止帶寬等資源耗盡，保證服務(wù)持續(xù)可靠；對于惡意霸屏等攻擊手段，加強(qiáng)對站群、惡意外鏈的檢測，對排名算法進(jìn)行優(yōu)化；對于惡意點(diǎn)擊，可通過設(shè)置精準(zhǔn)的推廣關(guān)鍵詞、設(shè)置好每日最高消費(fèi)額度、惡意點(diǎn)擊IP和IP段屏蔽、商盾設(shè)置等。

5 結(jié)語

互聯(lián)網(wǎng)流量攻擊行為已經(jīng)成為公害，企業(yè)流量之間的不正當(dāng)競爭，尤其是流量攻擊的地下產(chǎn)業(yè)鏈的形成，給風(fēng)清氣正的網(wǎng)絡(luò)空間帶來極其負(fù)面的影響。解決流量安全問題，既需要網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)運(yùn)營商等進(jìn)行技術(shù)反制，優(yōu)化業(yè)務(wù)流程，更需要管理部門和執(zhí)法機(jī)關(guān)采取一系列的法律和管理措施，細(xì)化處置規(guī)范，有針對性地進(jìn)行專項執(zhí)法和常態(tài)化管理，將企業(yè)業(yè)務(wù)競爭導(dǎo)入良性軌道。