一、什麼是鍊路層劫持

鍊路層：數據鍊路層是OSI參考模型中的第二層，介乎于物理層和網絡層之間。而鍊路層劫持是指黑客通過在用戶至服務器之間，植入惡意設備或者控制網絡設備的手段，偵聽或篡改用戶和服務器之間的數據，達到竊取用戶重要數據的目的。

它的主要功能是如何在不可靠的物理線路上進行數據的可靠傳遞，還提供錯誤檢測和糾正，以确保數據的可靠傳輸。該層的作用包括：物理地址尋址、數據的成幀、流量控制、數據的檢錯、重發等。

鍊路層劫持是指第三方（可能是運營商、黑客）通過在用戶至服務器之間，植入惡意設備或者控制網絡設備的手段，偵聽或篡改用戶和服務器之間的數據，達到竊取用戶重要數據（包括用戶密碼，用戶身份數據等等）的目的。鍊路層劫持最明顯的危害就是帳号、密碼被竊取。

二、解決方案

1、加強監控與檢測

目前網上也有一些鍊路劫持檢測方法，如使用libpcap判斷鍊路層劫持，其原理是在鍊路層劫持的設備缺少仿造協議頭中ttl值的程序(或者說，僞造流量要優先真實流量到達客戶電腦，所以沒有機會去僞造ttl值)。電腦每收到一個數據包，便交給程序，如果判斷某一IP地址流量的ttl值與該IP前一次流量的ttl值不同且相差5以上，便判定此次流量為在鍊路層中僞造的。

2、部署SSL證書，實現HTTPS加密

簡單的說，鍊路層劫持最直接的危害就是帳号、密碼被竊取。如何防止鍊路層被劫持？HTTPS是目前應對鍊路劫持應用最為廣泛的解決方案。衆所周知，傳統的http是明文傳輸的，數據在http傳輸過程中很容易被竊取及監聽，而HTTPS則不然，HTTPS是HTTP的安全版本，因此是解決鍊路層被劫持的可行性方案。

HTTPS證書的兩大作用是數據加密傳輸和身份驗證，如果隻是進行數據加密仍不能解決問題，因為加密是對application data進行的，網絡層的信息都沒有被加密，而身份驗證可以保證客戶端訪問的網站是經過CA驗證的可信任的網站。所以這就杜絕了鍊路被劫持的可能。

鍊路層劫持較為底層，而且很多涉及運營商行為，所以不可能從根本上來防止(或者找到運營商，或者抓住黑客，當然運營商你是戰勝不了的你懂得)。個人認為應對鍊路劫持一般可以考慮幾個維度：業務層面、技術層面。所有的安全都是為業務服務的，在确保業務的前提下，做好安全防護措施。最重要的是技術層面加強有效檢測、監控，包括對有關攻擊技術的研究、對日志流量等數據的分析。當然，對企業來講，我們隻能夠盡量做好自身，對于我們不可控的因素往往無能為力。總之，廣域網一點都不安全，所以敏感信息傳輸一定要加密，還要高強度加密。

數安時代GDCA也建議各大網站通過部署SSL證書，實現HTTPS加密升級來保護用戶的賬戶和密碼等隐私信息，且部署SSL證書後，醒目的标志有助于用戶區别假冒釣魚網站，以防用戶有不必要的損失。

在中國，通過國際Webtrust标準的認證的CA機構僅3家，具備了國際電子認證服務能力的CA機構，通過國際Webtrust标準的認證意味着CA機構的運營管理和服務水平符合國際标準，并且有能力、有資質提供全球化認證服務，是可靠電子認證服務的有效證明。其中一家就是數安時代GDCA，在國内是一個綜合安全實力比較強的CA機構。需要購買SSL證書的企業或站長可以考慮一下，數安時代除了自主品牌GDCA，還有Symantec、Globalsign、GeoTrust等品牌，選擇更多，一次性對比，提供行業最優惠的價格。有需要可以到官網咨詢客服了解産品。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!