芦天亮

(中国人民公安大学信息技术与网络安全学院， 北京 100038)

0 引言

网络空间中流量体现在用户数量、浏览次数、访问时长、软件下载量等多个方面。网络流量是各类应用业务的数据承载和基础，代表用户关注度、企业影响力以及经济利益等多个方面，因此网络流量的竞争异常激烈。大多数网站通过提供新闻、游戏和搜索等免费资源或服务，吸引用户访问提高网站流量，利用广告推广等方式盈利，并且通过加入广告联盟以获得更高的收益。

部分企业为了扩大知名度，通过向第三方网站支付费用将广告在其网页上展示。利用广告联盟等渠道能获得更佳的推广效果，但同时需要支出一笔不小的广告费用。一些公司为了节约开支或对竞争产品实施压制，选择流量劫持等网络攻击手段，在用户不知情或未授权的情况下实施恶意的网页跳转、不断弹框、插入广告和强制下载软件等行为。这也催生了流量攻击地下产业链，并且影响面和涉及金额巨大，仅DNS劫持一项，每天被恶意劫持的流量至少涉及上千万个IP[1]。

流量安全问题很多情况下是系统安全加固和用户防护意识无法解决的，并且隐蔽性和欺骗性极高。对于运营商流量劫持等网络环节的流量攻击手段，用户端无法有效阻断。近几年，流量攻击的技术手段不断翻新，包括用户接入设备攻击、DNS解析劫持、路由器流量劫持，以及服务器端攻击等，并且攻击对象从PC端向移动端迁移。

关于流量安全的事件以及基于流量劫持实施的不正当竞争案例不断曝光。即便有了政府部门的监管和法律的约束，流量攻击仍然是网络空间中难以根治的“毒瘤”，严重侵害了用户的权益，损害了被攻击企业的利益和声誉，扰乱了网络空间的公平竞争秩序。为了保证互联网经济市场秩序的健康有序发展，保证优质公司的合法利益，维护用户的选择权和知情权，应当从技术、立法和行政监管等方面对流量劫持等网络流量不正当行为进行有效的规范。

1 流量攻击的网络位置

互联网是一个典型的通信系统，包括信源、信道和信宿。在用户点击网页链接过程中，用户端(信源)向服务器发出请求，该请求基于TCP/IP协议栈网络流量进行承载，经过接入网络(包括无线路由器、3G或4G移动通信网络基站等)和运营商核心网络等(信道)传递，最终到达服务端(信宿)；服务端根据用户端请求做出响应，将应答结果以网络流量形式经传输网络原路返回用户端，此过程中服务端是信源，用户端设备是信宿。在该双向通信系统流量往返过程中的每一个环节都存在流量安全的风险，流量监听、流量劫持、数据篡改、身份仿冒及内容欺骗等攻击手段层出不穷。

根据流量攻击发生的关键位置，可以将流量攻击类型分为三类，包括：用户端流量攻击、传输网络流量攻击和服务端流量攻击，如图1所示。

图1 流量攻击发生位置

用户端流量攻击，主要针对用户系统或软件进行劫持，包括：流氓软件、主页篡改、hosts文件劫持、浏览器插件劫持等，技术复杂，形式多样[2]。相比于传输网络和服务端大多情况下的无能为力和毫不知情，对于用户端的本地流量劫持攻击，用户可借助安全软件对系统进行加固，检测和阻断部分流量劫持行为。

传输网络流量攻击，主要包括两种手段：(1)通过DNS劫持等技术将用户诱骗至恶意网站；(2)通过链路劫持等手段将服务端返回的数据进行篡改和替换，主要针对HTTP协议。实施DNS劫持的网络位置较多，可以是用户接入网络的无线路由器、企业或单位网关以及电信运营商网络等。链路劫持的攻击者通过在网关等位置监听用户访问请求，并冒充服务器将篡改的数据发送给用户，如注入JS脚本、替换下载文件。

服务端流量攻击，该方式可影响更大范围的用户，主要是针对搜索引擎结果进行攻击，包括恶意霸屏和恶意点击等针对服务器的攻击手段。通过程序攻击搜索引擎排名算法，进而破坏网站排名规则，实现霸屏；利用网页链接点击软件，模拟用户点击企业网站，扰乱正常搜索排名。

2 流量攻击的技术原理

2.1 用户端流量攻击

(1)利用流氓软件实施流量劫持

作为最简单也是最直接的流量劫持手段，流氓软件在广告恶意推广和商业不正当竞争中应用较早，主要通过主页篡改和锁定、网页劫持、广告弹窗、后台安装等方式实现获取推广流量。流氓软件通常具有恶意安装、难以卸载和信息收集等特征。2000年后，中国互联网便开始充斥着形形色色的流氓软件，尤其是各类插件泛滥并恶性竞争，造成用户电脑资源消耗，甚至死机等。这一时期出现了一批知名的流氓软件，包括3721上网助手、Yahoo助手、青娱乐等。

2005年，流氓软件被纳入到杀毒软件的检测范围内，大型互联网公司或者企业在流氓软件方面有所收敛，但是对于小型公司或黑客等地下产业链来说，流氓软件仍然是被用于流量劫持和广告推广的主要手段。而且大部分流氓软件的恶意模块和配置都是通过云端进行控制的，可以分时段、分地区、分场景投放和触发[2]。

很多互联网公司的产品存在着激烈的竞争关系，包括搜索引擎、网络游戏、安全软件、浏览器、社交工具等。竞争公司之间为了抢占用户资源、推广服务和产品，会借助用户端已安装的自家软件对竞争对手实施压制。流量劫持的攻击方通常利用不正当手段，将对手产品的用户恶意引导到自家网站。

2012年3月，百度的部分搜索结果被360安全卫士插标，并且引导用户安装360安全浏览器。北京市一中院认为，360公司通过修改百度网站搜索框中的下拉提示词劫持流量的行为违反了诚实信用原则，判决被告停止侵权、消除影响、赔偿原告经济损失及合理支出45万元[3]。

2016年，当用户在360搜索页面中使用搜狗输入法进行输入时，点击搜狗输入法提供的相应候选词，会直接跳转到搜狗搜索的界面上，实现了从360搜索引擎跳转到搜狗搜索引擎的操作[4]。

(2)利用网页挂马实施流量劫持

网页挂马是一种通过攻击浏览器或插件程序的漏洞，向用户设备中植入木马、流氓软件等恶意程序的手段。当用户访问挂马网页时，网页木马就会利用系统或者浏览器的漏洞自动下载和执行恶意程序。近两年，广告弹窗挂马攻击高度活跃，攻击者在原本的广告流量中植入网页木马，以弹窗等形式在用户端触发。

很多大型的网站用户数目庞大，一旦被黑客入侵并植入恶意程序，其对互联网用户造成的损失和影响将是巨大的。所以，网页挂马的对象不再局限于色情网站、垃圾站群等网站，近几年如酷狗音乐、暴风影音等正规网站和软件的广告流量也曾经被劫持挂马。

2015年12月，“叮叮天气”因劫持上百家知名网站插入广告并挂马而被曝光。当用户访问这些网站时，“叮叮天气”会从其服务器上拉取广告代码并插入到页面中。为了通过装机量获得更高的收益，“叮叮天气”还利用Flash软件漏洞，自动下载并安装数十款流氓软件。

2.2 传输网络流量攻击

(1)运营商流量劫持

截止2017年6月，中国互联网网民数量已经达到了7.51亿[5]。网民需要通过网络运营商提供的接入服务与互联网相连。网络运营商掌握着网民大量的上网信息，并且拥有得天独厚的网络监听和流量篡改的优势。因此，其背后产生的利益将是巨大的，近些年不断曝光网络运营商参与流量劫持的案件。2015年年底，腾讯、小米科技、360等6家互联网公司共同发表了一篇抵制运营商流量劫持的联合声明。

目前，实施运营商流量劫持的技术途径是监听用户HTTP GET上行请求，篡改正常返回的信息，在原真实页面插入恶意广告和窃取用户重要数据，从而实现隐蔽的劫持互联网网站信息。由于缺乏数据加密和身份认证等有效的安全保护，明文传输的HTTP流量非常容易遭到劫持和篡改。

2017年1月，国内知名财经类资讯APP财联社的运营公司上海正见文化传播有限公司就中国联通劫持该APP流量并插入广告的问题正式向北京市西城区人民法院起诉中国联通。和大多数运营商劫持情况基本相似，联通劫持财联社APP内嵌HTML5页面并插入夺宝类的垃圾广告[6]。

(2)DNS域名劫持

DNS劫持指的是用户在DNS域名解析时，得到的IP地址是被恶意篡改过的虚假地址，用户被引导到错误网站。

DNS劫持的具体实现手段有两种。(1)针对用户端的DNS欺骗，攻击者伪装成DNS服务器向发出请求主机发送虚假响应报文，由于DNS缺乏身份校验机制，用户端不能识别出这个报文是否来自真实的DNS服务器。(2)针对DNS服务器的攻击。DNS服务器存有大量域名和IP地址记录，一旦这些记录被攻击者恶意篡改，将造成互联网所有用户访问被引导至错误IP地址。

2010年1月12日，由于美国域名注册服务商Register.com Inc.的重大疏忽，致使百度域名遭到攻击者恶意篡改，全球多处用户不能访问百度网站，故障持续数小时。

(3)路由器劫持

路由器是互联网络的交通枢纽。路由器被劫持的原因有多种，路由器自身存在一些安全漏洞，利用这些漏洞黑客可以获得路由器控制权。另外，用户对路由器的安全配置不当，如登陆账号和密码太过简单等,拥有路由器的控制权限，实现对整个无线网络接入用户的流量控制。

通过劫持路由器，可以监控全网用户的上网情况，窃取用户信息。不仅如此，路由器被劫持之后，用户在正常上网的过程中，浏览器会不断地弹出广告，并且上网速度会一定程度的受到影响。

2015年11月，浦东法院判决了全国首起“流量劫持”刑案。付某、黄某等人篡改用户路由器的DNS设置，进而使用户登录“2345.com”等导航网站时，跳转至其设置的“5w.com”导航网站。经查，两名被告人短时间内违法所得高达75.47万元人民币。法院以破坏计算机信息系统罪对付某等人定罪处罚[7]。

2.3 服务端流量攻击

(1)恶意霸屏

恶意霸屏主要是针对各大搜索引擎的排名算法进行攻击，破坏正常网站的排名规则，通常用于公司恶意推广产品、服务等广告。当用户通过某些特定关键字进行搜索时，搜索结果的首页、甚至前几页都大量铺满其公司广告信息。

从公司广告推广的性价比来看，恶意霸屏相比于搜索引擎的竞价排名，无论从产品推广效果还是费用开支均有极大的优势和诱惑性，因此霸屏服务的市场需求和潜在用户群还是十分巨大的。为了获得不当的经济利益，很多公司纷纷推出霸屏服务，提高企业用户信息的曝光度，带来流量和销量的提升。

黑帽SEO蜘蛛池是实现恶意霸屏的主要手段。黑帽SEO的方法有很多，比如隐藏关键字、隐藏网页、堆砌关键字、桥页、寄生虫等。利用大型网站的高权重网页，蜘蛛池对其发布大量外链，欺骗搜索引擎使其认为大型网站的动态页面含有推广关键词。通过该种方式吸引搜索引擎快速收录并提高网站的排名。

2017年6月，公安机关抓获江苏扬州的一家网络科技公司负责人刘某等25人，查封扣押服务器八十余台。据调查，这家公司为客户非法提供SEO(优化排名)服务，该经营行为已经构成涉嫌破坏计算机信息系统犯罪。据刘某交代，其拥有一万多名客户，客户每个月交500元就能保证相关链接保持在前三页[8]。

(2)恶意点击

恶意点击是指利用自动化脚本、计算机程序或者雇佣自然人来模仿正当合法的网络用户对网络链接进行大量点击。当前，恶意点击或模拟点击的主要场景为刷搜索排名，增加网站点击量。

搜索引擎排名会参考用户的点击情况，一个网站被点击的次数越多说明这个网站越受用户欢迎，通过不同的IP使用搜索引擎搜索某一关键词并点击需要刷的网站，该网站的点击次数越多，搜索引擎会认为这个站点对用户帮忙越大，其排名也会相应地提高。

刷搜索引擎排名的原理就是模仿大量真实IP搜索某个关键词并点击目标网站。在各大站长BBS和一些电商网站上随处可见刷搜索引擎排名的广告，此类广告一般宣称“7天上首页”“网站快速排名首页”等，根据实际效果收取费用。当然也有很多免费的刷排名软件，这些软件会在用户的终端上模拟搜索点击。但普通用户下载安装后自己刷排名却没有太大效果，这是因为这些软件靠着免费的旗号积累了大量用户，用户在使用免费软件的同时也是在给黑产挂机为付费用户刷排名，在大量的IP用户的海量模拟点击下，作弊关键词的排名会迅速的提升。

(3)流量洪水攻击

流量洪水攻击，又称拒绝服务攻击，是指攻击者通过向被攻击服务器发送大量的请求，耗尽服务器资源，导致正常用户无法访问。2016年，CNCERT监测到1Gbps以上的分布式拒绝服务攻击(DDoS)事件日均452起，其中100Gbps以上攻击事件数量日均达到6起以上[9]。

DDoS攻击正呈现出大流量、多手段、IOT化的趋势。被黑客控制的“肉鸡”，除了个人计算机和IDC服务器外，还包括摄像头等智能设备。企业之间的恶意竞争是DDoS的主要根源，因此热门领域和高利润行业是DDoS攻击的重灾区[10]。

2.4 移动设备流量攻击

移动互联网发展迅猛，智能移动设备迅速普及，移动网民数目不断攀升。由此而引发的移动安全问题也日益凸显，尤其近几年，关于手机等移动设备流量劫持的案例不计其数，主要手段包括以下几类。

(1)APK安装劫持

利用Android安装劫持，在用户下载或升级APK应用过程中，用户的请求都会被重定向到虚假服务器上，该恶意服务器会返回给用户被替换过的APK下载地址，在用户毫不知情的情况下正常的APK应用程序被修改或者替换为恶意软件。

2017年7月，凤凰新闻将“今日头条”告上法庭，诉讼理由是以流量劫持为手段的“不正当竞争”。经分析，发现原本访问凤凰网的部分流量被恶意劫持，直接转至“toutiao.com”和“pstatp.com”，用户更新、下载“凤凰新闻”移动客户端的诉求直接被替换成了访问下载“今日头条”客户端[11]。

(2)APK二次打包

二次打包是指对APK安装文件反编译后加入广告插件或恶意代码等程序，重新生成一个新APK文件并诱骗用户下载安装，该种手段伪装性极强。在开放的Android操作系统中，盗版APP成为木马植入、广告推广、隐私窃取等违法行为的重要途径。“打包党”通过破解正规公司的热门APP并植入广告或病毒程序来赚取非法收入，像“愤怒的小鸟”等火爆游戏无一幸免。

手机APK“二次打包”灰色产业链迅速形成，以下载安装量等形式计费，一个APP下载的价格在1～4元。

为了避免被二次打包，有些开发者会对APK文件进行代码混淆，但代码混淆只是增加代码的阅读难度，并不能真正阻止攻击者的逆向破解。

(3)搜素引擎回退劫持

近两年，在移动端使用搜索引擎时经常会发生回退劫持的现象。搜索引擎劫持代码一般由JavaScript所写，可以监控并劫持用户点击浏览器返回按钮的动作，将页面跳转到恶意网址，从而达到搜索引擎劫持效果。

在搜索结果页的部分广告客户网站内带有劫持搜索引擎流量的恶意代码，用户点击进入该网站后会无法通过返回按钮后退到搜索结果页。根据后退的结果，可以分为两种。一是后退到了某一公司网站，并陷入循环。另一种是后退到虚假的搜索引擎页面，在此虚假搜索界面上进行任何的搜索，都会返回到包含该公司网站的搜索界面上。

以第二种为例，其主要实现手段是在用户访问的搜索结果的网页中嵌入恶意的JS劫持代码，该代码会将在后台保存访问过URL的History对象，篡改为希望用户后退到的恶意网址，如图2中的网站kcgsw.cn，并且该网站页面布局会高度仿冒官方搜索引擎。当用户误以为是搜索引擎官方页面而在该网站搜索时，结果会出现更多的恶意广告链接，如图3所示。常用的手机搜索引擎，如搜狗、百度和360等均会受到此种类型的恶意代码影响。

图2 回退进入虚假页面

图3 再次搜索后恶意推广

3 流量攻击的地下产业链

流量攻击现象发生在用户上网过程中的各个环节，国内的每一个互联网用户几乎都有过被流量劫持的遭遇，劫持案件频发的背后反映的是劫持成本极低，收益却很高的现实，在光鲜亮丽的网络背后充斥的是一条庞大并且完整的流量攻击利益链条，并且流量攻击利益链条越来越公开化。在淘宝上搜索“流量推广”“广告植入”“网站排名”等关键字能检索出数十页上千个提供相关服务的店铺。同样，在QQ上搜索“流量劫持”，便会发现数十个流量劫持的群组，并且很多声称可以付款进行流量攻击和劫持的黑客。这些流量劫持的群组中大多数都超过了1 000人，可以提供DNS劫持、广告弹窗、跳转劫持等服务，其中有人在群中表示“收购流量”。

流量安全问题背后隐藏着巨大的经济利益链条。据媒体报道，PC端网页上的横幅点击一次可获利0.15元，广告贴片为0.12元或0.18元；网页富媒体每千次展示可获利2.2元，对联广告2.1元，弹窗5.5元；移动端APP底端悬浮广告每千次展示可获利2.5元。流量劫持的市场行情是每天每千次IP的价格为35～70元。据统计，做流量劫持买卖工作的黑客收入至少可达每月3万元[1]。

在网络空间中用户流量就等于金钱收益，部分企业由于自身实力等原因无法通过正常渠道获得流量时，为了达到产品推广和占有用户市场等目的，不惜冒着触犯法律底线的风险，花费高昂价格直接购买或雇人实施不正当的流量攻击。

如前文所述，流量攻击的类型有多种，无论流量劫持的形式和种类如何，其背后的地下产业链均具有相似的结构和流程，如图4所示，产业链中主要参与的人员包括：技术人员、攻击者、购买方和套现者。

图4 流量攻击的地下产业链

在流量攻击的地下产业链流动过程中，技术开发人员并不直接参与攻击和劫持过程，而是通过向攻击者提供攻击工具和技术手段获利；攻击者利用技术人员提供的软件工具进行实际攻击和流量获取；服务购买方通过向攻击者支付电子货币获得其服务；套现者由专门人员进行电子货币等虚拟财产的套现。所有的收益由整条产业链上的所有人员进行分成。

4 流量攻击的技术应对策略

针对流量攻击发生的网络位置，我们从用户终端防护、传输网络防护和服务器防护3个方面进行技术应对。

4.1 用户终端防护

主要面向用户计算机和手机等终端设备，对流氓软件、浏览器劫持、网页挂马等攻击加强防护。采取多种防护相结合，包括：设置复杂密码并定期更新，防止被破解后植入恶意软件；使用杀毒软件对流氓软件和恶意插件进行扫描和清除；使用系统更新和固件升级等手段，修复设备、操作系统和软件安全漏洞；对用户角色和程序配置严格的权限和访问控制策略，限定对网络和系统核心数据的访问。

4.2 传输网络防护

用户浏览网页和下载文件过程中主要是基于HTTP协议，HTTP协议属于明文传输协议，对通信对方身份缺乏认证，并且对传输的数据缺乏加密和篡改检测，这是用户数据在网络传输过程中被劫持和插入广告的根源。建议将网站等服务迁移到HTTPS协议，HTTPS依靠证书来验证服务器的身份，并对用户和服务器之间的通信加密，通过以上技术手段能够有效的抵御针对网站的流量劫持等攻击。另外，要尽量做到全站HTTPS(即Always On SSL)来保证用户机密信息和交易安全，防止会话劫持和中间人攻击。

4.3 服务器防护

服务器端防护主要包括：抵御黑客入侵，加强网站和数据库安全防护；加强对DoS/DDoS的检测和流量过滤，防止带宽等资源耗尽，保证服务持续可靠；对于恶意霸屏等攻击手段，加强对站群、恶意外链的检测，对排名算法进行优化；对于恶意点击，可通过设置精准的推广关键词、设置好每日最高消费额度、恶意点击IP和IP段屏蔽、商盾设置等。

5 结语

互联网流量攻击行为已经成为公害，企业流量之间的不正当竞争，尤其是流量攻击的地下产业链的形成，给风清气正的网络空间带来极其负面的影响。解决流量安全问题，既需要网络用户、网络运营商等进行技术反制，优化业务流程，更需要管理部门和执法机关采取一系列的法律和管理措施，细化处置规范，有针对性地进行专项执法和常态化管理，将企业业务竞争导入良性轨道。