网络访问被谁劫持
技术与开发
上期我们刊登了“网络追踪:谁在幕后频频恶意弹窗”一文后,收到了大量的读者来信,很多读者反映自己曾经遇到过这种现象,还以为是中了病毒,现在才知道罪魁祸首可能是网络运营商。不少读者对其中涉及的网络访问劫持技术很有兴趣,我们来了解一下两种常见的网络访问劫持技术。
我们每天的网络生活通常是这样开始的:操作系统按照设定好的参数成功建立网络连接,获得一些更新的网络配置参数,而在一些局域网的环境中,我们常常可以手动配置相关的参数(关键词:DNS域名解析服务)。
接着我们开启客户端程序,比如浏览器、旺旺、QQ等网络程序,开始与互联网交换信息(关键词:网络协议)。
在建立网络连接时,网络运营商(ISP)负责为用户建立、存放以及刷新当地的网络配置参数。通常情况下,客户端程序访问互联网同样会经过两个步骤:首先会查询目标服务器域名,获得解析后的IP信息,然后与互联网中的目标建立一个可信任的链路(关键词:服务器端、路由器、客户端、端口、信任通道),接着开始交换数据信息(关键词:数据流)。
在现实生活中,你也许会在街上收到塞过来的广告宣传单,可能手机会突然响起……但你也可以回避它们。而在网络世界中,有些不确定的因素却是无法回避的。
一、DNS劫持
这是安全界常见的一个名词,劫持了DNS服务器,意思是通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。
那么什么时候我们会遇到DNS劫持呢?
1.用户计算机感染病毒,病毒在操作系统中的HOSTS文件中添加了虚假的DNS解析记录。Windows中HOSTS文件的优先级高于DNS服务器,操作系统在访问某个域名时,会先检测HOSTS文件,然后再查询DNS服务器。
提示:HOSTS文件是根据TCP/IP for Windows 的标准来工作的,它包含IP地址和主机名映射关系。在进行DNS请求以前,Windows会先检查自己的HOSTS文件中是否有这个地址映射关系,如果有则调用这个IP地址映射,如果没有再向已知的DNS服务器提出域名解析,也就是说HOSTS文件的存在能提高解析效率。
2.用户试图访问的网站被恶意攻击。这种情况下,你可能访问到的是一个欺骗性网站,也有可能被定向到其它网站。
3.用户在浏览器中输入了错误的域名,导致DNS查询不存在的记录。以前遇到这种情况,浏览器通常会返回一个错误提示。而最近,这种情况下用户会看到ISP设置的域名纠错系统提示(图1)。
提示:部分用户来信反映在成功连接宽带后,首次打开任何页面都指向ISP提供的“电信互联星空”、“网通黄页广告”等内容页面,这也属于DNS劫持。此时只需要稍等片刻就可以正常上网,如果仍打不开网站,不妨试一试重新拔号,待系统获得的IP刷新了,问题即可解决。
二、HTTP劫持
在使用者与其目的网络服务所建立的专用数据通道中,监视特定数据信息,当满足设定的条件时,就会在正常的数据流中插入精心设计的网络数据报文,目的是让用户端程序解释“错误”的数据,并以弹出新窗口的形式在使用者界面展示宣传性广告或者直接显示某网站的内容(图2)。
在用户的客户端与其要访问的服务器经过网络协议协调后,二者之间建立了一条专用的数据通道,用户端程序在系统中开放指定网络端口用于接收数据报文,服务器端将全部数据按指定网络协议规则进行分解打包,形成连续数据报文。
用户端接收到全部报文后,按照协议标准来解包组合获得完整的网络数据。其中传输过程中的每一个数据包都有特定的标签,表示其来源、携带的数据属性以及要到何处,所有的数据包经过网络路径中ISP的路由器传输接力后,最终到达目的地,也就是客户端。
需要注意的是,HTTP劫持通常不是定时在你的系统中出现的,只有病毒引起的恶意推广才会不停地出现在你的视线中。并且HTTP劫持往往是在你进行网络操作刚刚开始的时候,例如,你刚刚打开了旺旺、登录邮箱或访问的网站还未完全打开时,劫持才会出现。
这种劫持导致的最常见的现象就是弹出宣传页面,这种页面会突然跳出来,而且显示速度很快,比你要访问的网站提前很多。
提示:如果确认遭遇了HTTP劫持,可以向ISP客服强烈投诉,来达到免于被劫持的目的。因为劫持技术本身设计中包括类似黑名单的功能,如果收到宽带用户的强烈反对,ISP会将该用户放入“黑名单”过滤掉,于是用户在短期内就不会遇到劫持的情况了。