4006-555-883

Twitter流量疑遭俄罗斯劫持!防劫持保安全SSL证书不可或缺

发布时间:2022-04-06 18:16:00
  日前,一家俄罗斯电信运营商在两个多小时内短暂地通告自己是Twitter流量的目的地,这可能是一起意外事件,也可能是一起企图劫持流量的事件。


  据悉,当日早些时候,俄罗斯运营商RTComm.ru开始通告104.244.42.0/24,这正是Twitter所使用的前缀。对此,国际IT网络安全培训组织表示,劫持边界网关协议(BGP)前缀是阻止访问的一种方式,但它也可以用来拦截发送到相应IP地址的流量。

  流量被加持,根源在不安全协议


  事件发生后,美国联邦通信委员会(FCC)在调查公告特别指出,俄罗斯网络之前的行为很可疑。FCC写道:“俄罗斯网络运营商之前被怀疑过利用BGP的漏洞来劫持流量,包括在未给出解释的情况下通过俄罗斯重定向流量。”


  该事件再度暴露了BGP的固有缺陷。作为一种历史悠久的协议,BGP(边界网关协议)于1990年首次发布并应用于互联网世界,与许多互联网的基础协议一样,BGP设计当初并未考虑到更多的安全性,因而通过BGP劫持可用于破坏网络或拦截流量。

  BGP劫持是指攻击者恶意改变互联网流量的路由。攻击者通过错误地宣布他们实际上并不拥有的IP地址组(称为IP前缀)的所有权来实现这一点。通俗来讲,BGP劫持就像是有人在高速公路上改变所有的标志,将汽车指向错误的出口。

  由于BGP劫持,互联网流量可能被监控或拦截。通常来看,流量只会占用不必要的长路径,从而增加延迟;但在糟糕的情况下,BGP劫持会作为中间人攻击的一部分将用户重定向到虚假网站以窃取数据

  部署SSL证书,实现HTTPS传输加密


  BGP协议是用来控制信息流量在互联网流动的,是全球服务器提供商(SP)和本地服务器提供商给用户们提供的。BGP协议虽然解决了人与服务器的交流问题,但同时也面临着信息泄露、流量被劫持等隐患。

  随着互联网的高速发展和全民网络安全意识的逐步增强,越来越多的网站开始采用HTTPS这一更为安全的网络传输协议。HTTPS通过为服务器部署SSL证书而得来,相比于其他网络传输协议,HTTPS不仅可以提供更加优质的信息保密,还可以防止流量被劫持。


  当网站部署SSL证书,升级为HTTPS协议后,假设网络黑客劫持了网站域名解析,浏览器由于证书校验不通过,假站点返回的内容也不能正常展示,所以黑客的劫持就没有意义。

  值得注意的是,只安装了DV类型证书的网站会被通过BGP劫持导致SSL功能失效,攻击者甚至可以通过BGP劫持来申请DV类型证书。因此,一些重要领域如政府、金融类网站应当使用EV/OV型等更高级的SSL证书,以提升网站安全防护等级。这样一来,即使遇到SSL证书被劫持的情况,用户只要不随意信任来源不明的证书,就能牢牢掌握网站大门的钥匙,从而保证网站数据和流量的安全和完整。

  此外,每个SSL证书都包含有关证书所有者唯一的身份验证信息,可以帮助访问者快速识别服务器的真实身份,避免被钓鱼网站欺诈。同时,SSL证书还可帮助网站更好地保护网站数据独享,以及给予网站更高的搜索引擎权重


  需要说明的是,要为网站部署SSL证书,必须要向权威机构申请。即那些已经通过WebTrust国际安全审计认证,受各类操作系统、主流移动设备和浏览器信任的第三方电子认证服务机构。


  此外,在中国还需要有两个附加项,那就是要拿到工信部许可的《电子认证服务许可证》和国家密码管理局颁发的《电子认证服务使用密码许可证》,因为只有这样的权威电子认证机构,才有权利签发各类数字证书。

  当前,HTTPS依然是非常有效的流量劫持防范措施之一,无论是网络服务提供商还是广大网民,为保障自己的帐户安全和个人权益,都要形成使用HTTPS访问网站的习惯和意识,重要的网站更要及时部署权威机构颁发的SSL证书,才能确保网站关键数据的安全和完整。
最新发布
1
研究机构对2023年网络安全趋势的三大预测
2
安全为宗,合规为镜|写在《中华人民共和国密码法》施行三周年之际
3
“安满周”开始啦!守护网络信息安全,一定少不了TA
4
国家能源局发布《电力行业网络安全管理办法》,国密算法证书应用迎来快速增长期
5
明年5月1日实施!这项国家标准直指关键信息基础设施安全……
6
全国多地依据《反电信网络诈骗法》实施处罚,如何防诈骗保安全?
7
跟随党的思想指引 共筑网络安全防线
8
Really?这几个行业最容易遭受网络攻击
9
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!
10
“羊了个羊”火遍全网,警方发布紧急提醒……
相关推荐
1000元京东E卡+巨多超值豪礼,天威诚信SSL证书双重劲爆优惠来袭,冲鸭!
“羊了个羊”火遍全网,警方发布紧急提醒……
国家能源局发布《电力行业网络安全管理办法》,国密算法证书应用迎来快速增长期
银保监会发文严格信息安全保护机制!金融领域国密改造日趋紧迫
安全为宗,合规为镜|写在《中华人民共和国密码法》施行三周年之际
全国多地依据《反电信网络诈骗法》实施处罚,如何防诈骗保安全?
“安满周”开始啦!守护网络信息安全,一定少不了TA
4亿多条用户信息被盗,企业网站信息安全如何防护?
超八成搜索网站将个人信息出售,用户隐私安全谁来守护?
5年损失超430亿美元!你的电子邮件系统还安全吗?