流量劫持是指黑产团伙通过技术手段，非法拦截、修改或控制用户上网行为，以此达到网络流量的引流，甚至诱导用户安装木马程序、非法获取用户网络行为的核心数据。

1发展态势

根据腾讯安全平台部监测到的数据显示，2017年1-11月期间的链路劫持量约2000万起/天，劫持率约1.5%左右；流量劫持排名Top3的省份为江苏（323,844起）、广东（245,881起）、浙江（237,906起）。

2黑产手法及链条分析

流量劫持分为本地劫持和网络劫持两种：

一是本地劫持主要针对用户访问网络的客户端（如移动端、电脑端的浏览器）进行劫持、流氓软件植入和广告弹窗挂马等。

二是网络劫持针对用户客户端到远程服务器的通讯链路上的各个节点进行劫持，包括CDN劫持、DNS劫持及电信运营商基础网络设施劫持。

CDN（Content Delivery Network，内容分发网络），出于负载均衡相关考虑，会引导用户访问最近服务器的缓存资源。CDN劫持主要针对CDN服务器缓存文件进行污染，向用户分发弹窗广告，诱导访问广告网站或安装相关APP。

DNS（Domain Name System，域名系统）负责提供域名解析服务，即将域名解析成IP 地址。DNS劫持通常是将正常网址解析到色情、广告等相关网站，甚至通过架设代理方式劫持用户的访问数据。

电信运营商基础网络设施在缺乏安全保护措施情况，可能从骨干网络中被劫持数据。其劫持方式主要分为两种：一是直接修改或跳转用户访问导航、搜索引擎等上网数据，二是做到对用户分发APK、弹窗等操作，甚至还能直接获取http数据的cookie等信息。电信运营商基础网络设施劫持可能是当前最大网络劫持量的来源。

流量劫持黑产链条主要包含两类作案团伙：

（1）业务推广需求商：有推广APP、网站、广告等流量需求的团伙，希望通过不法手段实现广告弹窗、网页跳转、主页锁定、安装推广、暗扣刷量等进行引流，从而变现实现牟利。

（2）流量劫持团伙：通过弹窗木马软件、捆绑流氓软件、DNS劫持、CDN劫持、运营商基础设施劫持等，对访问互联网服务的用户进行流量劫持，对访问者的客户端进行主页锁定、网页跳转等行为，并向访问者推出弹窗广告、安装推广APP、暗扣流量等，从而与业务推广需求商进行分成牟利。

3典型案例

（1）重庆运营商骨干网劫持软件登录态进行恶意推广案

2016年3月，腾讯守护者计划安全团队协助重庆警方打掉了国内首起通过网络劫持获取用户社交账号“登录态”数据案，警方在重庆、北京、河北、四川和湖南等地成功抓获黑客、某电信运营商“内鬼”等7人。经侦查发现，该犯罪嫌疑团伙自2014年以来就开始在多个电信运营商省分公司省节点机房内架设服务器，采用分光镜像技术对用户的http数量流量进行劫持，非法修改用户http访问数据及非法获取QQ用户登录态，用于推广灰色广告、APP分发等业务，至抓获前已非法获利500万元。

（2）中学教材黄色链接案

2017年3月初，武汉警方接到报案，称人民教育出版社出版的的高中语文选修教材《中国古代诗歌散文欣赏》的网页链接被人篡改，指向一个涉黄网站。腾讯守护者计划安全团队协助警方进行深入分析，发现教材链接被篡改只是冰山一角，其背后还有大规模的挂马推广事件。该团伙通过投放恶意广告，使得用户的客户端、浏览器自动拉取带网页木马的恶意广告时，从而触发浏览器漏洞进行挂马。访问该网站的电脑将自动下载一种木马程序，访问指定的云端服务器，下载安装特定的推广软件，并对用户的电脑系统数据进行修改，破坏用户的计算机应用系统。该挂马团伙通过浏览器漏洞在PC端植入木马程序，暗装推广软件盈利，并通过入侵网站修改网站内容链接推广色情诈骗类网站和APP。