從當天晚上起，我再在ADSL環境測試，就沒有發現這種流量劫持現象了。

攻防之道

鏈路劫持對企業和用戶都是很麻煩的，影響用戶體驗，還泄漏敏感信息，而且還是分地域的，檢測和防御起來也相對困難。

鏈路劫持已經被某些人運用的爐火純青。比如近期業界發現部分區域的百度聯盟廣告腳本被植入惡意JavaScript去DDoS攻擊GitHub。

騰訊歷史上也遇到過多起鏈路劫持攻擊，目的性很強，大部分是插廣告(少部分是釣魚和掛馬)，攻擊手法各種各樣，有運營商的區域DNS劫持和鏈路劫持、運營商區域DNS Server遭到緩存投毒攻擊(利用CVE-2007-2926，非常經典)、開發商在路由軟件中植入劫持代碼、CDN與源通信遭到ARP攻擊、用戶PC本地木馬。當然，這些目前都已經解決了，也在持續監測中。

為了對抗鏈路劫持，很多騰訊業務也都使用了HTTPS或者私有協議，比如QQ Web登錄、QQ郵箱、理財通、Web微信、微信公眾平臺等。

DNS劫持攻擊相對容易檢測和防護。

檢測方面，用分布的點去進行DNS查詢即可，發現運營商DNS結果不對就可以推動修復。

防護方面，一種方案是使用DNSSEC(DNS Security Extensions);騰訊、114DNS還研發了自己的方案——HttpDNS。HttpDNS不使用DNS協議而是通過HTTP協議從HttpDNS后端服務器獲取域名對應的IP。當然，類似的思路我們可以實現一堆了：HTTPSDNS、TCPDNS、UDPDNS、ICMPDNS……

鏈路劫持相對復雜。

檢測方面，如有客戶端，可以依靠客戶端進行檢測;如果沒有客戶端，就具體情況具體分析了，可以在網頁里用JavaScript檢測頁面元素，甚至可以在全國重要城市租用ADSL探測。