鏈路層數據流量被挾持處置流程是什么

鏈路層數據流量劫持處置方法如下：

• HTTPS加密：https是目前應對鏈路劫持用的較多的解決方案。https是加密協議，我們隨便抓個http包，發現http包里面的所有東西都是明文的，這樣就會被監聽，而https協議是加密的。但是光加密還不夠，因為只是application data被加密了，網絡層的信息都沒有被加密，邪惡勢力依然可以用數據包的目的ip作為源ip響應用戶。https還有另一大特點是要驗證數字證書，為了確保客戶端訪問的網站是經過CA驗證的可信任的網站。所以這就幾乎徹底杜絕了鏈路劫持的可能。但是https也不是如此完美，雖然https解決了諸多安全問題，但是對性能也有著比較大的影響。一是用戶要從http跳轉到https，并且要多幾次 TLS的握手，這會消耗一定的時間;二是服務器的壓力也會增加。除此之外如果使用全站的https，所有頁面里面的嵌入資源都要改成https，APP的程序也要進行相應的修改，CDN的所有節點也必須都支持https并且導入證書。所以全站https并不是一件容易的事情，國外的Google、 Facebook、Twitter早已支持全站https，但目前國內大多數公司都沒有采用全站https的方式。

• 加強監控與檢測：目前網上也有一些鏈路劫持檢測方法，如使用libpcap判斷鏈路層劫持，其原理是在鏈路層劫持的設備缺少仿造協議頭中ttl值的程序(或者說，偽造流量要優先真實流量到達客戶電腦，所以沒有機會去偽造ttl值)。電腦每收到一個數據包，便交給程序，如果判斷某一IP地址流量的ttl值與該IP前一次流量的ttl值不同且相差5以上，便判定此次流量為在鏈路層中偽造的。

• 選擇可靠的HTTPS證書：并非所有的HTTPS證書都能有效防御鏈路劫持，SSL證書是用于證明服務器身份的合法證書，因此SSL證書頒發機構的合法性直接決定了SSL證書的合法性。比如：采用開源工具自己簽發的自簽名SSL證書，就不是合法的SSL證書，任何人都可以隨意簽發，沒有第三方監督審核，不受瀏覽器信任，常被黑客用于偽造證書進行中間人攻擊。不僅無法保護鏈路安全，反倒給黑客開了方便之門。通SSL證書由全球信任頂級根簽發，支持Windows、安卓、iOS、JDK以及Firefox、Chrome等各類瀏覽器、操作系統和移動終端，具備廣泛兼容性，可用于網站、APP等各類服務器部署HTTPS加密，幫助互聯網公司解決數據傳輸安全問題，防止流量劫持、數據泄露和釣魚網站。

回答所涉及的環境：聯想天逸510S、Windows 10。