返回：海量运维、运营规划--linux网络架构规划首页
每天有不计其数的网页请求、搜索请求会被各种途径劫持并重新定向，从而通过不法途径进行盈利，这种劫持动作一般是针对某些知名网站或搜索关键字进行，比如用户搜索“apple”这个词，正常情况下浏览器会返回来自搜索引擎的搜索结果页面。但是有些ISP和恶意客户端会在该搜索请求到达搜索引擎之前将其拦截，然后将该搜索请求转发给某个在线营销网站、甚至是钓鱼网站，所以对劫持进行监测与防御，是对用户价值和产品价值提升有重要贡献。

劫持分类

按照劫持特征分类，劫持共三种，以百度的案例阐述如下：

1、跳转劫持，使用百度服务时，浏览器自动跳转至其它页面，如使用百度搜索内容，结果页跳转到360的搜索结果，或打开检索结果，自动跳转至其他网站内容，特征如下：

1）浏览器访问的url自动发生跳转变化，这种变化可以是域名的跳转，也可以是计费名的跳转，请求的主机域名发生变化，或访问的URL发生变化。
2）浏览器的url不变，但访问的服务端IP发生变化，用户被指向了非百度服务器的IP。

2、篡改劫持，浏览器展现的界面内容被恶意修改，如页面链接被篡改，或整个网页被修改成另外的网页，特征如下：

1）访问的网站域名与IP都未发生变化，但页面元素发生变化，与正版的页面元素不同，篡改或增加链接内容、文字。
2）访问的网站域名与IP都未发生变化，访问的页面元素增加，与正版的页面元素不同，针对搜索结果的风险标注。

3、弹窗劫持，用户在正常使用中，自动弹出广告页面，该广告可能是窗口展现，也可能全屏展现，特征如下：

1）由ISP运营商的运作，而发生的劫持行为，即以特定地区运营商为范围单位发生的弹窗劫持现象，当某一类劫持case发生的地区分仅布集中在某一个和几个地区时，则代表是ISP劫持。
2）由用户电脑中安装的客户端在后台运行程序，对用户进行弹窗劫持的行为。大范围劫持现象中，所有用户电脑中安装了相同的客户端程序，可认为有极大的客户端劫持可能，当某一类劫持case发生在全国范围内时，客户端劫持的可能性极大，记为客户端劫持。

劫持监测

因为所有劫持都会发生在浏览器下，所以劫持过程通过客户端监听浏览器实现，网页渲染过程中，如果发生劫持，加载的元素会出现非原始网页的元素，例如百度搜身关键词时，所有的结果页域名、元素都是百度的，假如出现非百度域名或元素，可以将这一类样本先划到疑似劫持的池子中，再通过劫持分类的特征，建立劫持模型，进行匹配，例如以下案例为典型的运营商劫持。

http://www.baidu.com

http://211.138.195.31/blank.html

http://211.138.195.31/style/university/index.jsp?paramStr=UGGOtheTLCd5n%2B%2B2vBMsSyzdVX587RKfLfk%2F

https://urs.microsoft.com/urs.asmx?MSURS-Client-Key=xYNbTaNlt5KjE4AjIcaP9g%3d%3d&MSURS-Patented-Lock=xg2CFrBp1iI%3d

http://211.138.195.31/style/university/style.css

http://211.138.195.31/js/timeoutcontrol.js

http://211.138.195.31/js/main_cm.js

http://211.138.195.31/js/inputcheck.js

https://urs.microsoft.com/urs.asmx?MSURS-Client-Key=SltxQBXSJuoMT4P7JJZvyw%3d%3d&MSURS-Patented-Lock=g79MKHrOYEE%3d

http://211.138.195.31/style/university/images/down.jpg

http://211.138.195.31/createVerifycode?1365359118964

http://211.138.195.31/style/university/images/em.gif

http://211.138.195.31/style/university/images/bglogin.jpg

转载请注明linux系统运维：
http://www.linuxyw.com/linux/wangluojiagou/20130420/74.html