“如今這年頭，沒被運(yùn)營商“上”過（劫持）都不好意思說自己是中國網(wǎng)民笤闯！” 這還是烏云在2016年2月一句吐槽的話堕阔。兩年時(shí)間過去了，烏云已不在颗味，而中國網(wǎng)民依舊每日被運(yùn)營商“上”......

上周有熱心的小伙伴向Magiccc反饋超陆，點(diǎn)擊“閱讀原文”發(fā)現(xiàn)極驗(yàn)移動(dòng)官網(wǎng)底部有不可描述的浮窗廣告，點(diǎn)擊后跳出一篇小黃文浦马。

這還得了时呀！馬上找到“網(wǎng)管”紅姐，經(jīng)過我的描述晶默，紅姐還是一臉懵逼退唠，但是聽到我說有小黃文，紅姐曖昧一笑荤胁，表示這個(gè)熱心小伙伴可能遭到了“流量劫持”......

運(yùn)營商流量劫持示意圖

啥叫流量劫持，下面這些場景大家一定會(huì)很熟悉：

刷微博屎债，瀏覽新聞仅政，下面提示“領(lǐng)取紅包”、“真人侍寵”或一些大保健腎虧廣告

下載某應(yīng)用盆驹，無論是手機(jī)端還是 PC 端圆丹，下載到本地都會(huì)變成了UC、2345躯喇、瑞星

打開的是A網(wǎng)站辫封，莫名其妙卻被跳轉(zhuǎn)至B網(wǎng)站，多為“黑五類廣告”

各類劫持效果圖

當(dāng)然廉丽，還包括一些公司自己開發(fā)的應(yīng)用以及H5頁面倦微，一般都被藥產(chǎn)品類（壯陽，豐胸正压，減肥欣福，增高，醫(yī)療等產(chǎn)品）焦履，賣肉類（毒）拓劝，菠菜類（賭博），金融類（資金盤）嘉裤，資源類（賣片郑临，賣服務(wù)）占據(jù)。

1

某國字號(hào)App遭遇流量劫持

圈里都知道屑宠，鬧得最大的還是2017年5月10日晚上厢洞，國務(wù)院某App遭流量劫持。

但是，因?yàn)?12的WanaCrypt0r 2.0比特幣勒索病毒犀变，這一轟動(dòng)全球的事件妹孙，轉(zhuǎn)移了大家的視線，而這一更大爆點(diǎn)的網(wǎng)絡(luò)信息安全事件卻鮮為人知获枝，或者說關(guān)注的人比較少蠢正。 該App某H5頁面被植入色情內(nèi)容廣告，后經(jīng)排查“基本確定為用戶當(dāng)?shù)剡\(yùn)營商http劫持導(dǎo)致H5頁面被插入廣告......”

官方表示遭到運(yùn)營商劫持

運(yùn)營商連那啥都不怕省店，所以下面的這些更是見怪不怪：

WooYun前年反映的問題

2年后的今天不知道后續(xù)處置結(jié)果如何

諷刺的是嚣崭，360瀏覽器也在為運(yùn)營商背鍋

v2ex上用戶聲討運(yùn)營商劫持廣告

掘金網(wǎng)BryanSharp遇到的問題很眼熟

對(duì)于運(yùn)營商流量劫持，網(wǎng)友們表示紛紛中槍：

expkzb：電信也有這問題懦傍，尤其是那個(gè)紅包廣告

xiaofami：我用的是遼寧聯(lián)通雹舀，家庭光纖寬帶以及4G網(wǎng)絡(luò)你說的這些問題都存在

roist：上面的都算是良心運(yùn)營商了，老家小城的一個(gè)央企寬帶粗俱，過年前后那幾個(gè)月说榆，那專打手機(jī)的鋪天蓋地的黃色APP廣告，屏幕大的手機(jī)給你留半邊寸认，屏幕小的手機(jī)直接全屏蓋滿熱點(diǎn)签财，一滑就自動(dòng)彈開下載，關(guān)鍵TMD彈完了還是不能滑動(dòng)頁面偏塞，而且不帶停的唱蒸，直接沒法用

k9982874：我們這邊是在移動(dòng)設(shè)備上訪問http協(xié)議網(wǎng)站底部會(huì)有廣告橫幅，刷新后消失灸叼，數(shù)小時(shí)后會(huì)再次出現(xiàn)神汹。pc訪問沒有

?worldtongfb:感覺聯(lián)通現(xiàn)在真是變本加厲有恃無恐了，工信部也沒法管古今，聯(lián)通已經(jīng)這樣了屁魏，用戶凈利潤都下滑，工信部管得再嚴(yán)點(diǎn)聯(lián)通都得直接倒閉了捉腥，那哪行啊

2

運(yùn)營商流量劫持服務(wù)被公開販賣

暴利之下蚁堤，人心被腐蝕黑化

搜索運(yùn)營商劫持，這類黑產(chǎn)生意不要太好做：

運(yùn)營商流量劫持已形成黑色產(chǎn)業(yè)鏈

大家可能會(huì)問但狭，這群人哪來的資源披诗？

早在去年的5月中旬，BN探秘組團(tuán)隊(duì)（BiaNews）就針對(duì)運(yùn)營商流量劫持話題立磁，做過一期報(bào)道呈队。一家名為“沃媒網(wǎng)”的網(wǎng)站，以“運(yùn)營商精準(zhǔn)廣告”的名義唱歧，公開販賣流量劫持業(yè)務(wù)宪摧。以下是當(dāng)時(shí)的報(bào)道內(nèi)容：

根據(jù)沃媒網(wǎng)提供的客服聯(lián)系方式粒竖，我們與沃媒網(wǎng)工作人員取得了聯(lián)系。值得一提的是几于，這名客服人員的頭像為中國電信Logo蕊苗，且在昵稱中明文寫有“各種劫持”！

一位“銷售經(jīng)理”的QQ號(hào)

為了獲取更多線索沿彭，我們偽裝成有意購買流量劫持服務(wù)的廣告主身份與沃媒網(wǎng)客服人員進(jìn)行了溝通朽砰。

讓我們相信他們的業(yè)務(wù)能力，客服人員多次明確表示公司與電信存在合作喉刘，并稱公司的廣告服務(wù)為“電信廣告”瞧柔，僅能在電信網(wǎng)絡(luò)下顯示。隨后睦裳，為介紹自己的產(chǎn)品造锅，沃媒網(wǎng)工作人員向我們提供了一份內(nèi)部的宣傳資料。

在這份宣傳資料中廉邑，我們注意到哥蔚，沃媒網(wǎng)提供的廣告服務(wù)號(hào)稱可以覆蓋全網(wǎng)99%的網(wǎng)站資源，甚至包括競品網(wǎng)站蛛蒙；在廣告樣式上也不受廣告位限制糙箍，PC端或移動(dòng)端的任意廣告樣式均可發(fā)布。此外宇驾，沃媒網(wǎng)在宣傳資料中多次強(qiáng)調(diào)，廣告內(nèi)容由運(yùn)營商直投猴伶，不受網(wǎng)站資源限制课舍！

“電信精準(zhǔn)廣告”宣傳資料

經(jīng)過一番溝通，我們被要求提供廣告落地頁面設(shè)計(jì)稿以及公司相關(guān)資質(zhì)證明等資料他挎，交予電信方面審核筝尾。很快，沃媒網(wǎng)客服表示办桨，我們提供的購物廣告通過了審核筹淫，可以上線，并可自由指定推廣區(qū)域呢撞。

而在收費(fèi)標(biāo)準(zhǔn)方面损姜，沃媒網(wǎng)的CPM（每千人成本）報(bào)價(jià)為3.5元，300CPM起投殊霞。而與之對(duì)比的是摧阅，微信朋友圈廣告的CPM底價(jià)為15元（注：18年上漲至50-150元）。

客服人員介紹收費(fèi)標(biāo)準(zhǔn)

沃媒網(wǎng)工作人員稱绷蹲，電信是“大公司”棒卷，合作流程繁瑣顾孽。如果我們認(rèn)可他們的服務(wù)，在提供下述素材比规，完成相關(guān)流程審批后若厚，就可以開始推廣。

我們根據(jù)提供的材料發(fā)現(xiàn)蜒什，沃媒網(wǎng)提供的廣告平臺(tái)產(chǎn)品测秸，甚至具備相當(dāng)專業(yè)的數(shù)據(jù)分析功能，與正規(guī)廣告平臺(tái)幾乎無異吃谣。

客戶數(shù)據(jù)后臺(tái)乞封，投放效果實(shí)時(shí)展示

查到這里，我們已經(jīng)清晰掌握運(yùn)營商流量劫持這項(xiàng)黑產(chǎn)業(yè)務(wù)的基本運(yùn)營模式岗憋。但是肃晚，這群黑產(chǎn)人員到底是如何弄到“運(yùn)營商資源”，這一點(diǎn)還并不清晰仔戈。所以关串，我們決定與客服聊點(diǎn)深入的內(nèi)容......

3

盤根錯(cuò)節(jié)，網(wǎng)絡(luò)最大黑產(chǎn)浮出水面

當(dāng)談到與電信方面的合作方式监徘，沃媒網(wǎng)的工作人員向我們透露晋修，他們與電信旗下的號(hào)百公司有合作關(guān)系，電信彈窗推廣都是通過這一公司進(jìn)行投放凰盔。

沃媒網(wǎng)客服聊天截圖（百號(hào)為客服口誤墓卦，應(yīng)為號(hào)百）

通過企業(yè)公開資料顯示，號(hào)百公司即“號(hào)百信息服務(wù)有限公司”户敬，是中國電信股份有限公司旗下的全資子公司落剪，主要負(fù)責(zé)號(hào)碼查詢服務(wù)“號(hào)碼百事通”的日常運(yùn)營。

國家工商總局企業(yè)信用信息查詢系統(tǒng)查詢內(nèi)容截屏

顯然尿庐，號(hào)百公司的業(yè)務(wù)不止于此忠怖。我們?cè)谄涔倬W(wǎng)（besttone.com.cn）上看到，號(hào)百公司還涉足信息定制抄瑟、精準(zhǔn)廣告甚至團(tuán)購業(yè)務(wù)凡泣。

號(hào)碼百事通官網(wǎng)

其中，針對(duì)所謂的精準(zhǔn)廣告業(yè)務(wù)的描述如下：

精準(zhǔn)廣告官網(wǎng)業(yè)務(wù)介紹

新官網(wǎng)更是干脆將精準(zhǔn)廣告包裝為“大數(shù)據(jù)應(yīng)用信息服務(wù)”

看完這段描述皮假，細(xì)心的小伙伴可能會(huì)發(fā)現(xiàn)很眼熟鞋拟。沒錯(cuò)！在沃媒網(wǎng)的宣傳材料中惹资，對(duì)流量劫持廣告也有著類似的描述严卖！也許，這是“大數(shù)據(jù)”這個(gè)詞被黑得最慘的一天布轿。?

當(dāng)然哮笆，這樣的業(yè)務(wù)描述難以被認(rèn)定為電信號(hào)百公司進(jìn)行流量劫持的直接證據(jù)来颤。

在百度搜索“電信號(hào)百 流量劫持”相關(guān)結(jié)果中，我們發(fā)現(xiàn)稠肘，早在14年就有用戶指出福铅，電信旗下的號(hào)百公司涉嫌進(jìn)行流量劫持。遭遇強(qiáng)制跳轉(zhuǎn)的用戶查詢了跳轉(zhuǎn)頁面的域名信息项阴，發(fā)現(xiàn)上述域名均由號(hào)百公司備案注冊(cè)滑黔。

用戶直指號(hào)百參與流量劫持

圖中網(wǎng)友提到的“江蘇號(hào)百信息服務(wù)有限公司”，就是中國電信全資子公司环揽。而我們調(diào)查的沃媒科技公司同樣位于江蘇略荡，不知這一情況是否只是巧合。

上述相關(guān)證據(jù)顯示歉胶，作為電信集團(tuán)旗下的全資子公司汛兜，號(hào)百公司存在著較大的流量劫持嫌疑，極有可能是流量劫持行為的罪魁禍?zhǔn)祝?/p>

4

三個(gè)以色列研究院發(fā)現(xiàn)

中國用戶正在被運(yùn)營商劫持

根據(jù)Freebuf報(bào)道通今，有三名以色列的研究人員發(fā)現(xiàn)粥谬，中國的互聯(lián)網(wǎng)服務(wù)提供商（中國電信和中國聯(lián)通）正在向用戶的通信數(shù)據(jù)包中注入某些內(nèi)容褐捻。

在他們所發(fā)表的文章中姐霍，研究人員對(duì)互聯(lián)網(wǎng)服務(wù)提供商的這種操作手段和攻擊方式進(jìn)行了詳細(xì)的分析览妖，并且向大家解釋了互聯(lián)網(wǎng)服務(wù)提供商是如何監(jiān)視用戶的網(wǎng)絡(luò)通訊信息塘慕，并修改數(shù)據(jù)包的URL目的地址的。

這些互聯(lián)網(wǎng)服務(wù)提供商使用了兩種注入技術(shù)电谣，第一項(xiàng)技術(shù)為“Out of Band TCP Injection”盯漂，另一項(xiàng)技術(shù)為“HTTPInjection”蛔钙。即TCP帶外數(shù)據(jù)注入和HTTP注入储矩。

除此之外感耙，研究人員還收集了大量的證據(jù)，并發(fā)現(xiàn)了偽造數(shù)據(jù)包的始作俑者椰苟。

他們發(fā)現(xiàn)抑月，互聯(lián)網(wǎng)服務(wù)提供商與廣告網(wǎng)站之間存在著一種骯臟的利益關(guān)系树叽，他們一同合作并創(chuàng)造出了大量的廣告收益舆蝴，然后雙方就可以對(duì)這些收入進(jìn)行分?jǐn)偂?/b>

在調(diào)查過程中，研究人員還檢測到了大量被重定向的通信數(shù)據(jù)题诵，而這些均與他們的這種合作伙伴關(guān)系有關(guān)洁仗。

即使這種事情只發(fā)生在中國，但是全世界所有的用戶都將有可能受到影響性锭。因?yàn)樵剩绻阆胍L問中國的某個(gè)網(wǎng)站，那么你的網(wǎng)絡(luò)信息就需要流經(jīng)某國的互聯(lián)網(wǎng)服務(wù)提供商草冈。這樣一來她奥，你的通信數(shù)據(jù)將有可能被注入廣告或者惡意軟件瓮增。

5

運(yùn)營商流量劫持，如何避免哩俭？

就當(dāng)前的情況而言绷跑，可以說無法避免。由于是運(yùn)營商層次的劫持凡资，而并不是網(wǎng)站開發(fā)者操作砸捏。對(duì)于普通的終端用戶而言，無法采取技術(shù)手段屏蔽隙赁。

普通的用戶垦藏，只能采取被動(dòng)手段，投訴伞访！也別嫌麻煩掂骏，這個(gè)可以說是目前最簡單有效的方式......

工信部電信類用戶申訴受理中心

而對(duì)于企業(yè)而言，當(dāng)前主流的手段咐扭，主要有兩個(gè)：

可以選擇切換到HTTPS芭挽，作為以安全為目標(biāo)的HTTP通道， HTTPS被認(rèn)為是HTTP的安全版蝗肪，即在應(yīng)用層又加了SSL協(xié)議袜爪，會(huì)對(duì)數(shù)據(jù)進(jìn)行加密。

當(dāng)然加密也是有代價(jià)的薛闪，不同于TCP/IP的三次握手辛馆，它需要七次握手，而且加上加密解密等因素豁延，會(huì)使頁面的加載時(shí)間延長近50%昙篙，增加10%到20%的耗電，從而造成系統(tǒng)性能下降诱咏。

但是苔可，這樣也就能基本避免運(yùn)營商劫持了，畢竟黑產(chǎn)的目的是賺錢袋狞，流量劫持只是手段焚辅！他們也會(huì)核算成本！

如果沒法使用HTTPS苟鸯，就必須在網(wǎng)頁中手動(dòng)加入代碼過濾同蜻。具體的思路是網(wǎng)頁在瀏覽器中加載完畢后用JavaScript代碼檢查所有的外鏈?zhǔn)欠駥儆诎酌麊巍?/p>

具體可以參考這個(gè)鏈接：http://www.cnblogs.com/kenkofox/p/4924088.html

寫到這里，Magiccc只想向WooYun與BiaNews團(tuán)隊(duì)致敬早处，因?yàn)樗麄兠鎸?duì)的不是簡單的黑產(chǎn)湾蔓，而是一個(gè)手握利器的巨人......

最后，送上藍(lán)點(diǎn)網(wǎng)整理的兩個(gè)測試地址：

測試網(wǎng)頁廣告：

http://ad.ldstu.com/? ??

測試安卓應(yīng)用劫持：

http://tools.ldstu.com/ad/anzhuo.apk

若打開上述頁面出現(xiàn)任何廣告都說明你被劫持了砌梆，若下載的應(yīng)用超過272KB也說明你被劫持了默责。

本文內(nèi)容參考內(nèi)容源：

BiaNews—《敢在太歲頭上動(dòng)土：運(yùn)營商流量劫持調(diào)查》

方老司—《你可能不知道你已經(jīng)被運(yùn)營商劫持了》

藍(lán)點(diǎn)網(wǎng)—《簡單的測試：測試你的網(wǎng)絡(luò)是否被運(yùn)營商劫持》

Freebuf—《國外安全研究員：中國ISP將用戶的合法流量劫持至惡意站點(diǎn)》

歡迎關(guān)注微信公眾號(hào)”極驗(yàn)“贬循，還可以添加技術(shù)助理微信geetest1024，與作者共同探討問題~