这是一个创建于 3648 天前的主题,其中的信息可能已经有所发展或是发生改变。
通近日在全大建存服器,用正常 HTTP 的求劫持到存服器以到省骨流量的。抛此是否法不,我今天一下劫持行的危害。
一、可能造成站和 APP 功能故障。
1. 存更新及失效用及网站不可控,存的和新法在上保持一致性,可能引一些「奇怪」的。比如好多件的最新版本下地址是不的,如 http://www.example.com/download/latest.exe ,由于存的原你一直下到版本。可能影到部分件的自更新、自升功能。有如中部分源引用到致排版和功能常,被存致怎都不等。另外,由于劫持的方式是使用 HTTP 302 重定向指令,有的用可能只接受 HTTP 200 正的,不 302 指令,造成通信故障。
2. 技上存系只能通 URL 不同的源,不能具有相同 URL 的不同源。致源加,某一用的源被所有人共享等。比如看,出前一段和後一段容不一致,有用敏感信息的源被所有人看等安全。
二. 存服器具篡改或出售存的患,信息安全不利。
三. 存服器故障,造成大量用「部分」。
四. 存服器和理性能有限,上反映由於存服器常 403 、 502 ,致源法加,或由於存服器超致加速度慢。
五. 存服器可能部分站的反爬(反器人)、反制,存的容是服器信息,致源法加。
六. 破了 URL 用的透明性。假用劫持後的接分享其他人,而通存服器做了控制,致接法在外部打;另外如果存失效而又有及更新的,可能致用法通此 URL 被引用的源。
七. 害了 IDC 和 CDN 的利益,此劫持使 IDC 和 CDN 的流量大幅少,影 IDC 和 CDN 的流量收入。外,通何不提供商 CDN 服而偏要搞劫持?
八. 目前通的劫持依靠 TCP 答的方式,但原始包是到目服器被正。就我抓包的情看,然你源被 HTTP 302 包重定向到了通的存服器,但原目服器的 HTTP 200 是被送到用端,且由於得不到用端的定不超重,大地浪了用。
有人是通提升用而做的好事,不去反。我是持相反意的。就目前看,通的骨和出口算充足,劫持的要比好大得多。通要真想向用提供一流的用,只能靠充骨和出口,像部分小商一搞存劫持是有出路的。
一、可能造成站和 APP 功能故障。
1. 存更新及失效用及网站不可控,存的和新法在上保持一致性,可能引一些「奇怪」的。比如好多件的最新版本下地址是不的,如 http://www.example.com/download/latest.exe ,由于存的原你一直下到版本。可能影到部分件的自更新、自升功能。有如中部分源引用到致排版和功能常,被存致怎都不等。另外,由于劫持的方式是使用 HTTP 302 重定向指令,有的用可能只接受 HTTP 200 正的,不 302 指令,造成通信故障。
2. 技上存系只能通 URL 不同的源,不能具有相同 URL 的不同源。致源加,某一用的源被所有人共享等。比如看,出前一段和後一段容不一致,有用敏感信息的源被所有人看等安全。
二. 存服器具篡改或出售存的患,信息安全不利。
三. 存服器故障,造成大量用「部分」。
四. 存服器和理性能有限,上反映由於存服器常 403 、 502 ,致源法加,或由於存服器超致加速度慢。
五. 存服器可能部分站的反爬(反器人)、反制,存的容是服器信息,致源法加。
六. 破了 URL 用的透明性。假用劫持後的接分享其他人,而通存服器做了控制,致接法在外部打;另外如果存失效而又有及更新的,可能致用法通此 URL 被引用的源。
七. 害了 IDC 和 CDN 的利益,此劫持使 IDC 和 CDN 的流量大幅少,影 IDC 和 CDN 的流量收入。外,通何不提供商 CDN 服而偏要搞劫持?
八. 目前通的劫持依靠 TCP 答的方式,但原始包是到目服器被正。就我抓包的情看,然你源被 HTTP 302 包重定向到了通的存服器,但原目服器的 HTTP 200 是被送到用端,且由於得不到用端的定不超重,大地浪了用。
有人是通提升用而做的好事,不去反。我是持相反意的。就目前看,通的骨和出口算充足,劫持的要比好大得多。通要真想向用提供一流的用,只能靠充骨和出口,像部分小商一搞存劫持是有出路的。
 | 1 gaoxt1983 2016 年 1 月 20 日 工信部不作为! |
 | 2 Andy1999 2016 年 1 月 20 日 via iPhone 能打简体字吗 |
 | 3 a84945345 2016 年 1 月 20 日 。。。。这繁体字我真看不过来 |
 | 4 raysonx OP @Andy1999 @a84945345 我在用的上面有化字入法,抱歉。 我用工具了一份化字版本。 ************* 谈联通此次大范围网络缓存劫持的危害 ===================== 联通近日在全国范围内大建缓存服务器,并将用户正常访问 HTTP 的请求劫持到缓存服务器以达到节省骨干网带宽与网间流量的问题。抛开此举是否违法不谈,我们今天讨论一下这种劫持行为的危害。 一、可能造成网站和 APP 功能故障。 1. 缓存更新及失效时间对用户及网站不可控,缓存的旧数据和新数据无法在时间上保持一致性,可能引发一些「奇怪」的问题。比如好多软件的最新版本下载地址是不变的,如http://www.example.com/download/latest.exe,由于缓存的原因会让你一直下载到旧版本。这可能会影响到部分软件的自动更新、自动升级功能。还有如网页中部分资源引用到旧数据导致网页排版和功能异常,验证码被缓存导致验证码怎么都输不对等问题。另外,由于劫持的方式是使用 HTTP 302 重定向指令,有的应用可能只接受 HTTP 200 为正确的响应,不会识别 302 指令,造成通信故障。 2. 从技术上缓存系统只能通过 URL 来区别不同的资源,不能识别具有相同 URL 的不同资源。这会导致资源加载错误,针对某一用户的资源被所有人共享等问题。比如看视频时,出现前一段和后一段内容不一致,带有用户敏感信息的资源被所有人看见等安全问题。 二. 缓存服务器具备篡改或出售缓存数据的隐患,对信息安全不利。 三. 缓存服务器故障时,会造成大量用户「部分断网」。 四. 缓存服务器带宽和处理性能有限,据网上反映由于缓存服务器经常报 403 、 502 错误,导致资源无法加载,或由于缓存服务器超载导致加载速度缓慢。 五. 缓存服务器可能触发部分网站的反爬虫(反机器人)、反盗链机制,缓存的内容是服务器报错信息,导致资源无法加载。 六. 破坏了 URL 对用户的透明性。假设用户将劫持后的链接分享给其他人,而联通对缓存服务器做了访问控制,将会导致链接无法在外部打开;另外如果缓存失效而又没有及时更新的话,可能导致用户无法通过此 URL 访问被引用的资源。 七. 损害了 IDC 和 CDN 的利益,此种网络劫持使 IDC 和 CDN 的流量大幅减少,影响 IDC 和 CDN 的流量收入。题外话,话说联通为何不提供商业 CDN 服务而偏要搞劫持? 八. 目前联通的劫持依靠 TCP 抢答的方式,但原始数据包还是会到达目标服务器并被正确响应。就我抓包的情况来看,虽然你访问资源时被 HTTP 302 数据包重定向到了联通的缓存服务器,但原目标服务器的 HTTP 200 响应还是会被送到用户端,且由于得不到用户端的确认不断触发超时重传,极大地浪费了用户带宽。 有人说这是联通为提升用户体验而做的好事,不应该去反对。我是持相反意见的。就目前来看,联通的骨干网带宽和国际出口带宽还算充足,劫持带来的问题要比好处大得多。联通要真想向用户提供一流的用户体验,只能靠扩充骨干网带宽和国际出口带宽,像部分小区宽带运营商一样搞缓存劫持是没有出路的。 |
| 5 Andy1999 2016 年 1 月 20 日 via iPhone 其实劫持这事吧。。。怎么说呢 如果直接像香港一些运营商会后端自动匹配 md5 那也就算了,但是我们这边劫持还带改内容的。。。 |
| 6 a84945345 2016 年 1 月 20 日 劫持得不要不要的,天天给我打广告 |
 | 7 zaqxsw123nm 2016 年 1 月 20 日 又一个大坑 |
 | 8 dreamcountry 2016 年 1 月 20 日 这是违法行为,谁去举报 |
 | 9 tobyxdd 2016 年 1 月 20 日 现在似乎停止了? |
 | 11 oott123 2016 年 1 月 20 日 TCP 也能抢答? 不是说是 HTTP 劫持么… |
1 | 13 oott123 2016 年 1 月 20 日 @raysonx 哦哦,好像确实如此,暴露了我基础知识不扎实… 那再请教一下,为何联通作为 ISP 是否可以直接拦截 TCP 然后伪造响应(而不用抢答)呢? |
 | 15 Khlieb 2016 年 1 月 20 日 via Android @zaqxsw123nm 耍流氓 |
 | 16 br00k 2016 年 1 月 20 日 国内带宽互通问题太严重了。 |
 | 17 hggg 2016 年 1 月 20 日 via Android 之前我们遇到过用户反馈下载 app 为老版本的问题,后来发现用户使用的是艾普,长城这种宽带,宽带运营商做了缓存。后来修改下载链接,带上版本号才解决问题。 没想到了联通也这么干! |
 | 18 buddha 2016 年 1 月 20 日 个人怎么做能规避这种缓存呢, 是只有 http 的会吗 还是说 https 的也会? |
| 19 raysonx OP @buddha 於中人都攻( Man-in-the-middle attack, MITM )的一, HTTPS 可以防劫持,因站不可造,否。 |
 | 20 macdino 2016 年 1 月 20 日 有些运营商现在已经拒绝 HTTPS 的服务了。。 |
 | 21 965380535 2016 年 1 月 20 日 对于联通的行为,我本人表示极为遗憾。 |
 | 22 test0x01 2016 年 1 月 20 日 via Android 写得很不错 表扬 |
 | 24 cmxz 2016 年 1 月 20 日 关于 7 ,有可能劫持就是为了让大家使用联通的 CDN 业务… 至少我见过移动有一点点这样的意思 |
 | 25 VmuTargh 2016 年 1 月 20 日 嗯……看完我默默地打开了自己的 CloudFlare 页面,把 SSL 和 HSTS 开了再说 |
 | 28 Kisesy 2016 年 1 月 20 日 山东 联通,没发现这种问题 |
 | 33 aprikyblue 2016 年 1 月 20 日 山东联通没有发现此问题 |
 | 34 a656088752 2016 年 1 月 21 日 广东联通已经全没了电脑手机都试了 |
 | 35 billytv 2016 年 1 月 21 日 劫持不是一直存在吗? 广东联通在更新 directX runtime 时会被劫持到缓存, 下载速度很快, 然而缓存服务器上的文件有损毁, 签名跟 Mircrosoft 的对不上, 不管重新下载多少次安装时都会出错. 这状况已经半年多, 每次重装都要扶墙 |
 | 36 leavic 2016 年 1 月 21 日 缓存本身没有错,但缓存没有合适的更新机制和管理机制就错了。 |
Select Language