流量劫持：DNS劫持、CDN劫持、网关劫持！

前段时间，今日头条、美团大众点评网、360、腾讯、微博、小米科技等六家互联网公司联合发表了一份《六公司关于抵制流量劫持等违法行为的联合声明》作为站长而言，我们会经常遇到流量劫持的情况，流量劫持最直接的导致了网站的损失。

那么流量劫持一般分为几种情况呢？如何应对DNS劫持呢？

1、DNS劫持

DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能反应或访问的是假网址。

如何应对DNS劫持？

DNS劫持(DNS钓鱼攻击)十分凶猛且不容易被用户感知，黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面，其宽带路由器的DNS就会被黑客篡改，因为该WEB页面设有特别的恶意代码，所以可以成功躲过安全软件检测，导致大量用户被DNS钓鱼诈骗。

为此遇到这种情况我们需要手动修改DNS、修改路由器密码。

2、CDN劫持

CDN能加速大家都知道，但其中原理不少人都不清楚。其实，CDN本身就是一种DNS劫持，只不过是良性的。  不同于黑客强制DNS把域名解析到自己的钓鱼IP上，CDN则是让DNS主动配合，把域名解析到临近的服务器上。

这台服务器同样也开启了HTTP代理，让用户感觉不到CDN的存在。  

不过CDN不像黑客那样贪心，劫持用户所有流量，它只『劫持』用户的静态资源访问，对于之前用户访问过的资源，CDN将直接从本地缓存里反馈给用户，因此速度有了很大的提升。  
然而，只要是有缓存的地方，都是大有可为的。

一旦CDN服务器遭受入侵，硬盘上的缓存文件就岌岌可危了，网页被注入脚本，可执行文件被感染，一大波僵尸即将出现。

如何应对CDN劫持？

防范措施：感觉运营商不靠谱的话，换个第三方不带加速的 DNS，或许就不会解析到 CDN 服务器上了。
不少 CDN 黑白通吃，为了省流量不按套路出牌，超过了缓存时间也不更新，甚至还有忽略 URL 问号后面的，导致程序猿们在资源更新的问题上头疼不已。

3、网关劫持

  
交换机的出现逐渐淘汰了集线器。交换机会绑定MAC地址和接口，数据包最终只发往一个终端。因此只要事先配置好MAC对应的接口，理论上非常安全了。  

不过，很少有人会那么做，大多为了偷懒，直接使用了设备默认的模式——自动学习。设备根据某个接口发出的包，自动关联该包的源地址到此接口。  
然而这种学习并不智能，甚至太过死板，任何一个道听途说都会当作真理。用户发送一个自定义源MAC地址的包是非常容易的，因此交换机成了非常容易被忽悠的对象。只要伪造一个源地址，就能将这个地址关联到自己的接口上，以此获得受害者的流量。  

不过，受害者接着再发出一个包，绑定关系又恢复原先正常的。因此只要比谁发的频繁，谁就能竞争到这个MAC地址的接收权。如果伪造的是网关地址，交换机就误以为网关电缆插到你接口上，网络环境里的出站流量瞬间都到了你这里。

当然，除非你有其他出站渠道，可以将窃取的数据代理出去；否则就别想再转发给被你打垮的真网关了，被劫持的用户也就没法上外网。所以这招危害性不是很大，但破坏性很强，可以瞬间集体断网。  

防范措施：机器固定的网络尽量绑定MAC和接口吧。貌似大多数网吧都绑定了MAC和接口，极大增强了链路层的安全性。同时，独立的子网段尽可能划分VLAN，避免过大的广播环境。