2015腾讯校园招聘笔试题：流量劫持是网络中常见的网络问些，哪些情况会造成流量劫持？及常见网络攻击方式

今天看了腾讯笔试题，原题是这么描述的：

流量劫持是网络中常见的网络问些，下面哪些情况会造成流量劫持？

MAC地址欺骗、DNS劫持、伪造的DHCP服务器、使用https协议

DNS劫持和MAC 物理地址欺骗是，其他的还在考究，欢迎讨论！

感觉这块知识点不了解，于是google了下，记录下来学习学习！

DNS 劫持
如同 ARP 将 IP 解析成 MAC 地址 一样，DNS 负责将域名解析成 IP 地址。作为网络层的服务，面对的用户更广泛，当然面临的风险也大的多。一旦遭到入侵，所有用户都倒霉了。近些年的重大网络事故无不和 DNS 有关。

DNS 服务一旦被黑客控制，用户发起的各种域名解析，都将被暗中操控。将正常网站解析成黑客服务器的 IP，并事先开启了 HTTP 代理，用户还是能正常上网，并且几乎看不出任何破绽；只不过所有流量都是经由黑客的代理服务器收发的，因而黑客可以轻易获取各种明文传输的密码，比如各种网站账号信息都将一览无余。
由于 DNS 服务器的重要性，现实中通常有着较高的安全防护，想入侵它系统不是件易事。但实际未必如此兴师动众，一些 DNS 程序本身就存在着设计缺陷，导致黑客能控制某些域名的指向。其中最恶名昭彰的当属 DNS 缓存投毒。

大家或许已发现，域名->IP->MAC->接口，只要是动态查询的就会多一个环节，风险自然增加。灵活性与安全性始终是不可兼得。
防范措施：手动设置一些权威的 DNS 服务器，例如谷歌的 8.8.8.8，4.4.4.4 会靠谱的多。

由于 DNS 服务器的重要性，现实中通常有着较高的安全防护，想入侵它系统不是件易事。但实际未必如此兴师动众，一些 DNS 程序本身就存在着设计缺陷，导致黑客能控制某些域名的指向。其中最恶名昭彰的当属 DNS 缓存投毒。

大家或许已发现，域名->IP->MAC->接口，只要是动态查询的就会多一个环节，风险自然增加。灵活性与安全性始终是不可兼得。
防范措施：手动设置一些权威的 DNS 服务器，例如谷歌的 8.8.8.8，4.4.4.4 会靠谱的多。

MAC 物理地址欺骗

交换机的出现逐渐淘汰了集线器。交换机会绑定 MAC 地址和接口，数据包最终只发往一个终端。因此只要事先配置好 MAC 对应的接口，理论上非常安全了。
不过，很少有人会那么做，大多为了偷懒，直接使用了设备默认的模式 —— 自动学习。设备根据某个接口发出的包，自动关联该包的源地址到此接口。然而这种学习并不智能，甚至太过死板，任何一个道听途说都会当作真理。用户发送一个自定义源 MAC 地址的包是非常容易的，因此交换机成了非常容易被忽悠的对象。只要伪造一个源地址，就能将这个地址关联到自己的接口上，以此获得受害者的流量。
不过，受害者接着再发出一个包，绑定关系又恢复原先正常的。因此只要比谁发的频繁，谁就能竞争到这个 MAC 地址的接收权。如果伪造的是网关地址，交换机就误以为网关电缆插到你接口上，网络环境里的出站流量瞬间都到了你这里。

当然，除非你有其他出站渠道，可以将窃取的数据代理出去；否则就别想再转发给被你打垮的真网关了，被劫持的用户也就没法上外网。所以这招危害性不是很大，但破坏性很强，可以瞬间集体断网。

防范措施：机器固定的网络尽量绑定 MAC 和接口吧。貌似大多数网吧都绑定了 MAC 和接口，极大增强了链路层的安全性。同时，独立的子网段尽可能划分 VLAN，避免过大的广播环境。

其他网络安全：

ARP 攻击
这种攻击大家几乎都听出老茧了，即使不懂电脑的人也知道装个 ARP 防火墙 保平安，其危害之大可想而知。简单的说，ARP 就是广播查询某个 IP 对应的 MAC 地址，在用这个 IP 的人回个声。知道这个 IP 对应的 MAC 地址，就可以链路通信了（链路层只能通过MAC地址通信）。
如果有人冒充回复，并抢在正常人之前，伪造的答案也就先入为主。IP 被解析到错误的地址上，之后所有的通信都被劫持了。
事实上，早期的系统还有个更严重的BUG：直接给用户发送一个 ARP 回复包，即使对方从没请求过，系统也会接受这个回复，并提前保存里面的记录。这种基于缓存的投毒，让劫持成功率更上一层楼。
防范措施：由于这种攻击太过泛滥，以至大部分路由器都带了防 ARP 攻击的功能。客户端的 ARP 防火墙也数不胜数，似乎成了安全软件的标配。当然，系统也支持强制绑定 IP 与 MAC 的对应，必要时可以使用。

伪装的DHCP服务器俗称DHCP。

现实中，并不是每个人都会配置网络参数，或者出于方便，让网络系统自动配置，自动分配IP地址设置DNS等。出于这个目的，DHCP 服务诞生了。

由于没有配置IP地址、网关、DNS 等，在网络上是寸步难行的，因此首先需要从 DHCP 那获得这些信息。然而，既然连 IP 地址都没有，那又是如何通信的？显然，只能发到广播地址（255.255.255.255）上，而自己则暂时使用无效的IP地址（0.0.0.0）。（事实上，链路层的通信只要有 MAC 地址就行，IP 地址已属于网络层了，但 DHCP 由于某些特殊需要使用的是 UDP 协议）

因为是发往广播，内网环境里的所有用户都能听到。如果存在多个DHCP服务器，则分别予以回复；用户则选择最先收到的。由于规则是如此简单，以至于用户没有选择的余地。

如果有黑客也在内网里也开启了 DHCP 服务，用户收到的回复包很可能就是黑客发出的，这时用户的网络配置就会听由黑客接管了，被劫持就是不能避免的。

CDN 入侵

CDN 能加速大家都知道，但其中原理不少人都不清楚。其实，CDN 本身就是一种 DNS 劫持，只不过是良性的。不同于黑客强制 DNS 把域名解析到自己的钓鱼 IP 上，CDN 则是让 DNS 主动配合，把域名解析到临近的服务器上。这台服务器同样也开启了 HTTP 代理，让用户感觉不到 CDN 的存在。

不过 CDN 不像黑客那样贪心，劫持用户所有流量，它只『劫持』用户的静态资源访问，对于之前用户访问过的资源，CDN 将直接从本地缓存里反馈给用户，因此速度有了很大的提升。然而，只要是有缓存的地方，都是大有可为的。一旦 CDN 服务器遭受入侵，硬盘上的缓存文件就岌岌可危了，网页被注入脚本，可执行文件被感染，一大波僵尸即将出现。

防范措施：感觉运营商不靠谱的话，换个第三方不带加速的 DNS，或许就不会解析到 CDN 服务器上了。

草图使用的是QQ截图软件，感谢强大的企鹅！