揭秘流量劫持暴利黑幕，专挑HTTP下手！

所谓流量劫持，就是利用各种恶意软件、木马病毒，修改浏览器、锁定主页或不停弹出新窗口等方式，强制用户访问某些网站，从而造成用户流量损失的情形。

在巨大的利益面前，流量劫持早已形成一个规模庞大的黑色产业链。源源不断的收入刺激，让流量劫持成了“野火烧不尽”的网络痼疾，也给企业带来了高达千万级的经济损失。

流量劫持造成的损失还远不止于此。某家品牌企业在大型综合性网站投放了巨额的广告费之后，却发现在北上广地区看到的是自家广告，在长沙、南昌等城市看到的是其他品牌的广告。当企业发现巨额广告费用并没有为自己服务，而是白白打了水漂，气愤之余也倍感无奈。

更有甚者，流量劫持者在企业官方网站上插入一些乱七八糟的广告弹窗，或者将企业网站上的内容、图片、参数等信息篡改成色情、赌博等内容，以博取高额利润，严重影响了企业的形象。

有人可能会问，如今有众多的杀毒软件、防火墙等安全工具，为什么还会发生劫持流量的事情？什么情况下流量会轻易地被劫持？

明文传输的HTTP流量，显然是流量劫持者眼中的“肥肉”。HTTP拥有庞大的流量基数，但同时存在极易攻破的漏洞，自然成为流量劫持者下手的最佳目标。利用HTTP的缺陷，流量劫持者不费吹灰之力，就可以对通信内容进行窃听、篡改和劫持，在用户鼠标点击的一刹那，流量劫持的故事就已经开始。

从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入，到浏览器插件劫持、HTTP代理过滤、内核数据包劫持、bootkit......花样翻新的流量劫持手段，在用户流量路过的各个节点布满埋伏，对毫无防御能力的HTTP流量进行随意掠夺。

如此猖狂，不禁让人想起“打劫圈”最富盛名的一句浑语，“此山是我开，此树是我栽，要想过此路，留下买路财”。

流量劫持看似难以防范，其实能通过一个非常容易理解的技术手段去解决，即HTTPS加密的方式。

相较于无法验证通信方身份和数据完整性的HTTP协议，HTTPS——一个基于HTTP的安全通信通道，它使用安全套接字层(SSL)进行信息交换，具有身份验证、信息加密和完整性校验的功能，能够确保传输数据的机密性和完整性，以及服务器身份的真实性，从而有效避免HTTP劫持的问题。

通过为网站申请SSL证书即可将HTTP网站升级到HTTPS。需要注意的是，这个证书必须向权威知名的CA机构申请，因为知名CA机构的根证书广泛存在于大多数浏览器和操作系统中，因此可以被客户端用来校验网站SSL证书是否合法。

当网站使用了由权威CA机构，就相当于给网站通信安上了一个保险柜，所有的信息传输都在加密环境下进行，流量劫持再也无法轻易发生。