前段时间因为公司的一款手机APP产品经常遭到流量劫持，严重影响用户体验，因此对互联网流量劫持的原因以及可行方案进行了一些研究和测试，趁着清明三天小长假躺床上养病，梳理一下。全文都是po主根据之前一段时间的研究结合自己的理解一个一个字敲出来的，参考的一些文章，最后也列出，可以直接链接进去。由于po主水平有限，文章肯定有很多错误，希望大家不吝赐教。

一、劫持的方式分析       
       互联网的流量劫持大致分两种，第一种是DNS劫持，第二种是链路劫持。对于这两种劫持的原因有很多，比如用户电脑中毒了，DNS被篡改了，比如家用路由器被攻破了等等。但这种个人极端原因毕竟是少数，真正的幕后大佬（此处应该有广东话配音）其实是运X商（此处配有BB音），这其实已经是互联网行业公开的秘密，各大互联网公司早已经和各大运营商展开了一场旷日持久的撕胯大战，po主公司由于是金融行业，刚涉足互联网不久，还处于摸石头过河阶段，却也是感受到了我国互联网环境的水深。对此po主只有一句话，大家都是要被颠覆的行业，难兄难弟何必相爱相杀呢？ 好了，废话不多说了，这是一个严肃的技术文档！！！

1、DNS劫持
       首先我们要搞明白运营商为什么要劫持用户DNS呢？  用户跟你什么仇什么怨？

       劫持原因基本分两类，第一类是为了跳转广告，第二类是本地缓存，总结一下就是为了——钱！

       跳转广告比较好理解，我明明访问的是淘宝，怎么跳转成了一个不知名小网购网站，还和淘宝长的挺像。本来po是要以身试法，截个被劫持的图下来展示下的，结果访问各大网站1个小时，也没有一次被劫持，真心为电信点赞！ 跳转广告这种方式由于过于芳草天，用户也不是傻子，运营商用起来也是比较谨慎，所以第二类本地缓存才是罪恶之源。

       由于各运营商带宽资源、网间结算费用、IDC机房资源分布等存在较大差异，因此为了保证网内用户的访问质量，同时减少跨网结算，运营商在网内搭建了内容缓存服务器，通过把域名强行指向内容缓存服务器的IP地址，就实现了把本地本网流量完全留在了本地的目的。但是由于运营商对这些内容缓存服务器的使用的技术手段参差不齐，运维管理也不是很及时。通常会引起两个问题，一是当这些运营商的内容缓存服务器出现故障后，用户将无法访问到需要的资源，二是当源站已经有内容更新了，而这些运营商的内容缓存服务器并未及时更新，导致用户访问到旧资源，或者无法访问到资源。

       其实运营商的DNS劫持的原理很简单，就是当用户向local DNS去请求某个域名的真实ip时，运营商的local DNS服务器回复了一个假网站或内容缓存服务器的ip，最终导致用户访问出现异常。当然一些劫持行为一旦被发现，运营商一般都会声称DNS服务器被黑，当然也可能声称临时工干的。DNS劫持由于其实现简单，无论是出于有意或无意的，目前被广泛的应用在互联网环境中。根据腾讯内部的统计，腾讯全国每日的DNS解析异常量达到80万条，并且这还只是一个抽样监测的结果。这对于企业的影响是非常恶劣，尤其在移动互联网时代，用户体验就是核心竞争力，因此DNS劫持的攻防之战也是一个互联网公司必须重视的课题。

更多：
文／小七叔叔（简书作者）
原文链接：http://www.jianshu.com/p/eff9553c8b64
著作权归作者所有，转载请联系作者获得授权，并标注“简书作者”。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法