为何流量劫持困扰互联网行业多年

　　三大角度解析，流量劫持为何困扰互联网行业多年

　　
　　周五看到六家互联网公司联合发表的声明，抵制流量劫持等违法行为，有人认为这矛头直指运营商。我对这个领域并不太懂，但也看这其中有很多误解，还是有必要解释一下的：

　　第一、从纯技术的角度看“流量劫持”

　　客户原本想访问A网站，但是中间有人用技术手段，使实际打开的是B网站，这些利用技术手段调整用户访问的行为就叫流量劫持。还有种更广义的说法：在打开A网站的同时又强行打开了C页面，也算流量劫持。

　　“流量劫持”是一类互联网技术的统称，互联网的网络或者业务提供者通过这些技术来改变用户的访问行为。那么这种改变调整都是对用户不利的么？答案是否定的。

　　比如做DNS流量优化，应用调度优化，甚至包括CDN的路由设计与调整，都多多少少改变了用户的实际访问需求，目的是改善客户体验——在另一个网站能更快捷地获取同样的信息，为什么非要客户在这个网站上继续排队呢？

　　这就像一把刀，用这把刀可以切菜，也可以用来杀人。运营商也好，互联网公司也罢，都千方百计运用技术手段提升客户感知，吸引和留住用户；但是确实有人将技术手段用于牟利，甚至不惜牺牲客户利益。这就需要具体情况具体分析，不能说看到拿刀的人就说是打劫的强盗。

　　另一方面，“流量劫持”的行为可能发生在流量经过的各个环节：终端浏览器、客户端软件可以做终端劫持，WiFi的AP可以做无线劫持，路由交换等网络设备可以做通道劫持，分光设备可以做旁路劫持，等等。这就像一趟镖走下来，打劫的地点可能在水路，可能在陆路，也可能在打尖住店的时候。在陆路打劫还需要持械行凶，可到了客栈的时候，一包蒙汗药就搞定了。

　　所以，看到“流量劫持”就骂运营商，就像收货人看见包裹是空的，就马上指责公路局纵容强盗，或者看到带刀的就抓起来，这个逻辑是不对的。

　　第二、从商业利益角度看“流量劫持”

　　互联网公司对关注流量劫持的问题非常关注。流量引导产生的分成是互联网公司的根本经济利益，互联网的广告、业务分成等核心盈利点，最终要落脚在流量引导上，流量被导走了，就意味着钱没了。

　　广告商关注的是眼球效应，青睐于到达率更高的企业。当前行业监管和法律法规还不完善，因此谁能更准确、更强迫地让客户看到信息，谁就能拿到更多的广告收益。因此，能改变流量导入的技术手段显得尤为重要，甚至直接影响后向收费的市场格局。

　　互联网企业在流量导入方面的创新一直走在前面。最早是靠弹窗广告增加流量，后来通过浏览器或者APP引导，这些都还能接受。但到后来，有的浏览器强行修改网页信息，或者更改客户的请求内容，这就有些过分了。而今，眼看着流量被引导走，广告商与“流量劫持”者合作，广告收入受到严重影响，其悲愤的心情是可以理解的。

　　第三，从法律和道德的角度看“流量劫持”

　　11月在上海宣判了中国大陆首起流量劫持刑案，对涉案人员进行了处罚。犯罪人员的行为是违反国家规定，对计算机信息系统中存储的数据进行修改。这并不是简单笼统地说，流量劫持就是违法。

　　在法律上流量劫持并不等同于违法，而六家联合声明中却直接将流量劫持定义为违法行为，又谈到普通用户的正当利益均造成了严重的损害。如果参与声明的互联网企业认定流量劫持是违法的，是不是先把自家浏览器和APP上的劫持行为关了？表面看来这六家互联网公司是站在了道德的制高点上，代表人民大众向监管部门喊话，但实际想解决的是互联网公司商业利益受损的问题。

　　事实上，流量劫持问题确实已经“困扰互联网行业多年”，监管部门确实应该从客户的立场出发，制止恶意违规的流量劫持行为，对侵害客户利益产生的现象进行处罚，无论是对互联网公司还是对运营商，一视同仁。

　　流量劫持这种事 不靠求运营商就能用技术解决问题吗？

　　有时候你在用手机浏览网页甚至打开 App 的时候（比如打开微信公众号文章或者打开手机淘宝），有时候会出现一个广告弹窗，甚至有时候是运营商自己的流量提醒，这个广告有时候和 App 的内容和类型完全不符，不了解情况的用户很可能会怪罪 App 乱弹广告，也许你真的是怪错人了，你的流量可能被某些机构劫持了。

　　
　　今日头条、美团 - 大众点评网、360、腾讯、微博、小米科技六家公司发表联合声明，共同呼吁有关运营商严格打击流量劫持问题，重视互联网被流量劫持可能导致的严重后果。

　　联合声明指出，在当前的移动互联网环境下，流量劫持主要分为两种方式： 域名劫持和数据劫持 ，放任流量劫持会导致扰乱市场秩序、损害用户利益以及传播诈骗、色情等低俗甚至严重违法信息的恶果。

　　对于流量劫持这种事情已经成为业界非常普遍但是又无可奈何的一件事情，主要在于不敢得罪运营商，现在终于到了几家大型互联网公司联合起来「声明」的地步， 那么对于这种流氓手法真的没有办法 吗？为了我们咨询了 阿里云网络方面的资深工程师亭林。

　　相对于 PC 端的网络环境，移动端的网络环境更为复杂，2G、3G、4G、Wi-Fi 各有不同，而复杂的网络环境也增加了流量劫持的可能性和复杂程度。

　　流量劫持的方式主要分为两种，域名劫持和数据劫持。

　　域名劫持是针对传统 DNS 解析的常见劫持方式。 用户在浏览器输入网址，即发出一个 HTTP 请求，首先需要进行域名解析，得到业务服务器的 IP 地址。使用传统 DNS 解析时，会通过当地网络运营商提供的 Local DNS 解析得到结果。 域名劫持，即是在请求 Local DNS 解析域名时出现问题，目标域名被恶意地解析到其他 IP 地址，造成用户无法正常使用服务。

　　解决域名劫持的一个办法就是绕开 Local DNS，通过一个可信的源头来解析域名，解析方式不需要拘泥于 DNS 协议，也可以通过 HTTP 的方式。 亭林介绍道两年前，手机淘宝等 APP 也曾遇到这一问题，随后在做底层网络优化时， 通过使用自己定制的 HTTPDNS，一个安全可信的域名解析方案，解决了域名劫持问题，现在 & nbsp;HTTPDNS 技术也准备通过阿里云开放给广大开发者使用，当前这款产品正在内测中，预期将在明年初上线。

　　
　　数据劫持基本针对明文传输的内容发生。 用户发起 HTTP 请求，服务器返回页面内容时，经过中间网络，页面内容被篡改或加塞内容， 强行插入弹窗或者广告。

　　行业内解决的办法即是对内容进行 HTTPS 加密 ，实现密文传输，彻底避免劫持问题。

　　而 MD5 校验同样能起到防止数据劫持的作用 ，MD5 校验是指内容返回前，应用层对返回的数据进行校验，生成校验值；同时，内容接收方接收到内容后，也对内容进行校验，同样生成校验值，将这两个校验值进行比对，倘若一致，则可以判断数据无劫持。 但相比 HTTPS 加密，MD5 校验存在一定风险，劫持方技术能力强则有可能在篡改内容后替换校验值，导致接收方判断错误。

　　HTTPS 一开始是以加密通信为需求而诞生的，第一批用户也是银行等金融机构。但随着互联网上个人数据传输变得更加普遍，HTTPS 早已经成为了互联网行业的大势所趋。 今年双 11，阿里的淘宝、天猫、聚划算等电商平台就做到了全站的 HTTPS 加密访问，当然这也是开放的。