凌晨三点，在近千人的“无限流量”QQ群里，依然热闹非凡，不时有消息刷屏“提供劫持技术，有意者私聊”，紧接着又来一条“高价收购流量，淘宝、百度、联通、电信流量不限量，合作加QQ。”

这是一个不为大众所熟知的黑暗世界。在互联网上，每天有至少超过上万个网络流量被恶意劫持，QQ群里热闹叫卖的正是非法劫持而来的网络流量。

互联网世界，流量就等于金钱

所谓流量劫持，就是利用各种恶意软件、木马病毒，修改浏览器、锁定主页或不停弹出新窗口等方式，强制用户访问某些网站，从而造成用户流量损失的情形。

在巨大的利益面前，流量劫持早已形成一个规模庞大的黑色产业链。源源不断的收入刺激，让流量劫持成了“野火烧不尽”的网络痼疾，也给企业带来了高达千万级的经济损失。

流量劫持造成的损失还远不止于此。某家品牌企业在大型综合性网站投放了巨额的广告费之后，却发现在北上广地区看到的是自家广告，在长沙、南昌等城市看到的是其他品牌的广告。当企业发现巨额广告费用并没有为自己服务，而是白白打了水漂，气愤之余也倍感无奈。

更有甚者，流量劫持者在企业官方网站上插入一些乱七八糟的广告弹窗，或者将企业网站上的内容、图片、参数等信息篡改成色情、菠菜等内容，以博取高额利润，严重影响了企业的形象。

流量劫持花样多，专挑HTTP下手

有人可能会问，如今有众多的杀毒软件、防火墙等安全工具，为什么还会发生劫持流量的事情？什么情况下流量会轻易地被劫持？

明文传输的HTTP流量，显然是流量劫持者眼中的“肥肉”。HTTP拥有庞大的流量基数，但同时存在极易攻破的漏洞，自然成为流量劫持者下手的最佳目标。

利用HTTP的缺陷，流量劫持者不费吹灰之力，就可以对通信内容进行窃听、篡改和劫持，在用户鼠标点击的一刹那，流量劫持的故事就已经开始。

从主页配置篡改、hosts劫持、进程Hook、启动劫持、LSP注入，到浏览器插件劫持、HTTP代理过滤、内核数据包劫持、bootkit……花样翻新的流量劫持手段，在用户流量路过的各个节点布满埋伏，对毫无防御能力的HTTP流量进行随意掠夺。

如此猖狂，不禁让人想起“打劫圈”最富盛名的一句浑语，“此山是我开，此树是我栽，要想过此路，留下买路财”。

权威SSL证书，专治HTTP流量劫持

流量劫持看似难以防范，其实能通过一个非常容易理解的技术手段去解决，即HTTPS加密的方式。

相较于无法验证通信方身份和数据完整性的HTTP协议，HTTPS——一个基于HTTP的安全通信通道，它使用安全套接字层(SSL)进行信息交换，具有身份验证、信息加密和完整性校验的功能，能够确保传输数据的机密性和完整性，以及服务器身份的真实性，从而有效避免HTTP劫持的问题。

通过为网站申请SSL证书即可将HTTP网站升级到HTTPS。

需要注意的是，这个证书必须向权威知名的CA机构申请，因为知名CA机构的根证书广泛存在于大多数浏览器和操作系统中，因此可以被客户端用来校验网站SSL证书是否合法。

当网站使用了由权威CA机构的SSL证书，就相当于给网站通信安上了一个保险柜，所有的信息传输都在加密环境下进行，流量劫持再也无法轻易发生。

从短期看，在巨大的利益诱惑下，流量劫持这只“恶魔之手”还不会消失，但是可以预见的是，HTTPS加密正在成为一个全球性的趋势：Google、火狐、百度、360等搜索引擎均公开宣布，对HTTPS网站给予优先收录；而在移动端，微信小程序也要求同步小程序的网站，必须使用HTTPS协议。

相信在互联网巨头的协力推动下，HTTP即将成为过去式，全网HTTPS加密的时代将加速到来，让流量劫持再无可能。