導讀：是什么讓曾經水火不容的騰訊和360站到了一起?近日，今日頭條、美團大眾點評網、360、騰訊、微博、小米科技六家公司發(fā)布《關于抵制流量劫持等違法行為的聯合聲明》(下文簡稱《聲明》)，呼吁有關運營商嚴格打擊流量劫持問題，重視互聯網公司被流量劫持。

《聲明》中“含糊其辭”地將矛頭指向“運營商”，這讓包括三大運營商在內的一眾運營商們再次來到輿論的風口浪尖。

“流量劫持”到底是什么?是誰在劫持流量?這個互聯網及通信行業(yè)的冷門話題突然被炒熱的背后，真相究竟如何。

什么是“流量劫持”?

提起流量劫持，其實幾乎每個網民都遇到過。例如，明明點擊的A網站，打開的內容卻是B網站;有時打開一個網頁就能看到各種讓人眼花繚亂的彈窗及插件，其中不乏許多涉嫌賭博、色情的非法內容，讓人防不勝防。

對于互聯網公司來說，網絡流量是維持生存的最基本條件。就好比一家線下的百貨超市，眼見所有顧客都被人從大門前劫走了，能不著急嗎!

所以，流量是互聯網的衣食父母，如果流量被惡意劫持，損失一定不小。阿里云網絡資深工程師亭林介紹，流量劫持的方式主要分為兩種：域名劫持和數據劫持。

用戶在瀏覽器輸入網址，即發(fā)出一個HTTP請求，首先需要進行域名解析，使用傳統DNS解析時，會通過當地網絡運營商提供的Local DNS解析得到結果。域名劫持，即是在請求Local DNS解析域名時出現問題，目標域名被惡意地解析到其他IP地址，造成用戶無法正常使用服務。這就像是有人將高速公路上的路標指向牌給換了，所有車都乖乖駛入了錯誤的方向和目的地。

百度就曾深受域名劫持之害，2010年百度域名被劫持，造成百度整整8個小時無法訪問，直接和間接損失重大。

另一種常見的流量劫持是數據劫持，基本針對明文傳輸的內容發(fā)生。用戶發(fā)起HTTP請求，服務器返回頁面內容時，經過中間網絡，頁面內容被篡改或加塞內容，強行插入彈窗或者廣告。通俗一點來說，就是往你瀏覽的網站里加點料。這一點很多網民深有體會，各種彈窗、廣告讓人不勝其煩的同時，也在偷偷劫持流量。哪怕是網民鼠標的一下誤點擊，都會給相關公司導入流量，帶來實際收益。

對普通用戶來說，如果你登錄的頁面被劫持，將一些重要的賬號密碼甚至銀行信息輸入一個虛假的網站，那么也會有很大的安全隱患。

流量劫持不是誰的專利

記者調查采訪后發(fā)現，其實阿里、騰訊、百度、中國電信、中國移動、中國聯通、360、小米、微博、世紀互聯等大部分互聯網公司都可能成為流量劫持的原告和被告。流量劫持不是誰的專利，而是一種互聯網社會的灰色現象。

六家公司聯合發(fā)布《聲明》之后不久，百度和搜狗立刻不合時宜地因流量劫持這件事吵了起來。搜狗指責移動端流量被百度惡意劫持，百度則在官方微博上強硬回復，否認劫持搜狗流量，并請搜狗不要用輸入法“取”百度流量。雙方各執(zhí)一詞，誰也不服軟。

流量劫持誰都避之不及，小米于近日被曝出旗下的小米路由器劫持了用戶的404界面，隨后小米路由器團隊回應稱“近期嘗試的404錯誤頁面優(yōu)化功能，旨在網頁出錯時幫助用戶更便利地繼續(xù)瀏覽，”并表示如果用戶不需要，在手機App中關閉即可。

一個多月前，上海浦東法院判決了全國首例流量劫持案，這起案件的被告并不是某一家互聯網公司或運營商，而是個人。從2013年年底到2014年10月，陜西人付某和廣東人黃某租賃多臺服務器，使用惡意代碼修改互聯網用戶路由器的DNS設置，進而使用戶登錄“2345.com”等導航網站時，跳轉至其設置的 “5w.com”導航網站。最終，兩名被告人被判有期徒刑3年，緩刑3年。

再將時間向前推，2012年，騰訊和360之間曾展開過聲勢浩大的世紀3Q大戰(zhàn)，當時騰訊和360都想方設法公開阻礙用戶使用對方的服務，這從某種意義來說也涉嫌流量劫持。

互聯網公司之間因為流量劫持針鋒相對早已是家常便飯，百度在2013年就曾狀告360，360因此被判賠付40萬元。

界限不清監(jiān)管模糊

“監(jiān)管目前是一個比較麻煩的問題，因為對于判定哪些是合法行為，哪些是不合法的行為，包括運營商應該負哪些責任、能做什么不能做什么?這些問題都沒有一個明確的界定。”電信專家付亮表示，對流量劫持的監(jiān)管并不容易。

付亮認為，從監(jiān)管方來說，工信部、互聯網信息辦公室、工商總局應共同搭建監(jiān)管體系，履行監(jiān)管責任。但由于流量劫持涉及網絡安全、信息泄露、域名管理等復雜情況，行為不容易被定性，“只有定性了，才能尋求相關部門進行處理。”

“只要是個合法網站，一旦掌握了確鑿證據，下一步根本不是在媒體上互噴口水，必須立馬對簿公堂，法庭上見。”一位技術專家向《IT時報》記者表示，法律才是最好的武器。

運營商不是監(jiān)管者

《聲明》中，六家公司呼吁有關運營商嚴格打擊流量劫持問題，但運營商能否負起監(jiān)管之責?答案也是模糊的。

在整個網絡服務的鏈條中，電信運營商屬于基礎服務提供商，所有的流量需要經過電信運營商的管道，“如果將這個電信運營商比喻成高速公路，路上幾輛車在跑，有的車是正常的，有的車可能攜帶了一些違法的東西，但運營商近似‘啞管道’，看不出幾輛車之間的區(qū)別，運營商沒辦法清楚知道經過管道的流量是什么屬性。”付亮解釋道。

付亮進一步表示，運營商并不是監(jiān)管者，因為運營商并非純粹的高速公路，也有各自的內容服務，需要流量來發(fā)展業(yè)務。

針對流量劫持，目前行業(yè)通行的做法是網站主體對內容進行HTTPS加密，實現密文傳輸。記者觀察發(fā)現，目前銀行等金融機構以及一些網站如百度、淘寶、知乎等都已使用HTTPS加密傳輸。