服务器利用HTTPS协议是否能避免流量劫持?

2020-04-13 17:53:00 云杰 116

服务器利用HTTPS协议是否能避免流量劫持?


什么是流量劫持?

流量劫持,是利用各种恶意软件修改浏览器、锁定主页或不停弹出新窗口,强制用户访问某些网站,从而造成用户流量损失的情形。流量劫持是一种古老的攻击方式,比如早已见惯的广告弹窗等,很多人已经对此麻木,并认为流量劫持不会造成什么损失。而事实上,流量劫持可以通过多种你无法觉察的方式窃取信息甚至窥探你的隐私。

 

由于HTTP协议的缺陷发生流量劫持

流量劫持的方式有很多种,常见的主要有DNS劫持、CDN入侵、网关劫持、ARP攻击、Hub嗅探等等。不同的劫持方式,获得的流量有所差异。DNS 劫持,可以截获通过域名发起的流量,直接使用 IP 地址的通信则不受影响;CDN 入侵,只有浏览网页或下载时才有风险,其他场合则毫无问题;而网关被劫持,用户所有流量都难逃魔掌。

 

目前互联网上发生的流量劫持基本是两种手段来实现的:

l域名劫持:通过劫持掉域名的DNS解析结果,将HTTP请求劫持到特定IP上,使得客户端和攻击者的服务器建立TCP连接,而不是和目标服务器直接连接,这样攻击者可以对内容进行窃取或篡改。在极端的情况下甚至攻击者可能伪造目标网站页面进行钓鱼攻击。

l直接流量修改:在数据通路上对页面进行固定的内容插入,比如广告弹窗等。在这种情况下,虽然客户端和服务器是直接建立的连接,但是数据内容依然可能遭到野蛮破坏。

 

能够实施流量劫持的根本原因,是HTTP协议没有办法对通信对方的身份进行校验以及对数据完整性进行校验。在HTTP 里,一切都是明文传输的,流量在途中可随心所欲的被控制。在自己的设备上,大家都会记住各种账号的登录状态。然而,在被劫持的网络里,即使浏览再平常不过的网页,或许一个悄无声息的间谍脚本已暗藏其中,不登录也会被劫持,操控起你的账号了。

 

HTTPS加密如何防止流量劫持

不同于简单的HTTP代理,HTTPS是在HTTP基础上,增加一层SSL加密通道。SSL协议是用于解决传输层安全问题的网络协议,其核心是基于公钥密码学理论实现了对服务器身份认证、对数据的加密保护以及对数据完整性的校验等功能,确保传输数据的机密性和完整性,以及服务器身份的真实性。

 

SSL证书还包括以下好处

 提升企业形象:如果企业网站安装了一个由权威证书签发机构签发的SSL证书,不仅能凸显网站的专业性,而且还能提升网站访问者的信任度。当然,如果部署的是EV SSL证书,还会显示绿色地址栏和单位名称,告诉用户其访问的是安全、可信的站点,大大提升企业的形象和可信度。

提升网站访问者的信任度:如果你的网站需要使用个人信息来登录,那么你必须要安装SSL证书,访问者看到他们的个人信息能够被很好地保护,肯定会加深对网站的信任。

吸引更多的顾客:如果你的网站是在线销售网站,如果安装了SSL证书,肯定会吸引更多的顾客前来购买并且付款的,如果连最基本的保障都没有,又怎么会有顾客愿意来购买呢?

增加销售业绩:如果你使用了一套比较好的支付系统,那么它会为你的客户提供SSL。当然,最好我们应该安装自己的SSL证书才会有更好的保障。

辨别假冒网站:由于SSL证书可以认证服务器真实身份,因此,它能有效的区别假冒钓鱼网站和官方网站。