流量劫持的方式主要分為兩種，域名劫持和數(shù)據(jù)劫持。

一.域名劫持

1.域名劫持是針對傳統(tǒng) DNS 解析的常見劫持方式。用戶在瀏覽器輸入網(wǎng)址，即發(fā)出一個 HTTP 請求，首先需要進(jìn)行域名解析，得到業(yè)務(wù)服務(wù)器的 IP 地址。使用傳統(tǒng) DNS 解析時，會通過當(dāng)?shù)鼐W(wǎng)絡(luò)運(yùn)營商提供的 Local DNS 解析得到結(jié)果。域名劫持，即是在請求 Local DNS 解析域名時出現(xiàn)問題，目標(biāo)域名被惡意地解析到其他 IP 地址，造成用戶無法正常使用服務(wù)。

2解決域名劫持的一個辦法就是繞開 Local DNS，通過一個可信的源頭來解析域名，解析方式不需要拘泥于 DNS 協(xié)議，也可以通過 HTTP 的方式。兩年前，手機(jī)淘寶等 APP 也曾遇到這一問題，隨后在做底層網(wǎng)絡(luò)優(yōu)化時，通過使用自己定制的 HTTPDNS，一個安全可信的域名解析方案，解決了域名劫持問題。

3.HTTPDNS 技術(shù)也準(zhǔn)備通過阿里云解析服務(wù)（AliDNS）開放給廣大開發(fā)者使用，當(dāng)前這款產(chǎn)品正在內(nèi)測中，預(yù)期將在明年初上線。到時，移動開發(fā)者也能自主設(shè)置，將需要防劫持的域名進(jìn)行保護(hù)。

二.數(shù)據(jù)劫持

1.數(shù)據(jù)劫持基本針對明文傳輸?shù)膬?nèi)容發(fā)生。用戶發(fā)起 HTTP 請求，服務(wù)器返回頁面內(nèi)容時，經(jīng)過中間網(wǎng)絡(luò)，頁面內(nèi)容被篡改或加塞內(nèi)容，強(qiáng)行插入彈窗或者廣告。

2.行業(yè)內(nèi)解決的辦法即是對內(nèi)容進(jìn)行 HTTPS 加密，實(shí)現(xiàn)密文傳輸，徹底避免劫持問題。

3.而 MD5 校驗(yàn)同樣能起到防止數(shù)據(jù)劫持的作用，MD5 校驗(yàn)是指內(nèi)容返回前，應(yīng)用層對返回的數(shù)據(jù)進(jìn)行校驗(yàn)，生成校驗(yàn)值；同時，內(nèi)容接收方接收到內(nèi)容后，也對內(nèi)容進(jìn)行校驗(yàn)，同樣生成校驗(yàn)值，將這兩個校驗(yàn)值進(jìn)行比對，倘若一致，則可以判斷數(shù)據(jù)無劫持。但相比 HTTPS 加密，MD5 校驗(yàn)存在一定風(fēng)險，劫持方技術(shù)能力強(qiáng)則有可能在篡改內(nèi)容后替換校驗(yàn)值，導(dǎo)致接收方判斷錯誤。

4.HTTPS 一開始是以加密通信為需求而誕生的，第一批用戶也是銀行等金融機(jī)構(gòu)。但隨著互聯(lián)網(wǎng)上個人數(shù)據(jù)傳輸變得更加普遍， HTTPS 早已經(jīng)成為了互聯(lián)網(wǎng)行業(yè)的大勢所趨。

三.第三方的遞歸解析服務(wù)（LocalDNS）

1.互聯(lián)網(wǎng)公司可以采用以上這兩種方式避免劫持，而對廣受流量劫持影響、上網(wǎng)體驗(yàn)嚴(yán)重受損的網(wǎng)民來說，其實(shí)也可以通過使用第三方的遞歸解析服務(wù)（LocalDNS）來避免這一問題。

2.目前，包括 Google、CNNIC、阿里云等公司在內(nèi)都已經(jīng)推出了 LocalDNS 服務(wù)。阿里云解析的 LocalDNS 的 IP 地址簡單易記：223.5.5.5 和 223.6.6.6，用戶只要在網(wǎng)絡(luò)選項(xiàng)中進(jìn)行簡單的設(shè)置就可以使用。對于這款面向廣大網(wǎng)民的免費(fèi)服務(wù)，阿里云解析也承諾絕不會重定向或者過濾用戶所訪問的地址，并且無彈插廣告。

[文章來源:linux中國]