一、什么是链路层劫持

链路层：数据链路层是OSI参考模型中的第二层，介乎于物理层和网络层之间。而链路层劫持是指黑客通过在用户至服务器之间，植入恶意设备或者控制网络设备的手段，侦听或篡改用户和服务器之间的数据，达到窃取用户重要数据的目的。

它的主要功能是如何在不可靠的物理线路上进行数据的可靠传递，还提供错误检测和纠正，以确保数据的可靠传输。该层的作用包括：物理地址寻址、数据的成帧、流量控制、数据的检错、重发等。

链路层劫持是指第三方（可能是运营商、黑客）通过在用户至服务器之间，植入恶意设备或者控制网络设备的手段，侦听或篡改用户和服务器之间的数据，达到窃取用户重要数据（包括用户密码，用户身份数据等等）的目的。链路层劫持最明显的危害就是帐号、密码被窃取。

二、解决方案

1、加强监控与检测

目前网上也有一些链路劫持检测方法，如使用libpcap判断链路层劫持，其原理是在链路层劫持的设备缺少仿造协议头中ttl值的程序(或者说，伪造流量要优先真实流量到达客户电脑，所以没有机会去伪造ttl值)。电脑每收到一个数据包，便交给程序，如果判断某一IP地址流量的ttl值与该IP前一次流量的ttl值不同且相差5以上，便判定此次流量为在链路层中伪造的。

2、部署SSL证书，实现HTTPS加密

简单的说，链路层劫持最直接的危害就是帐号、密码被窃取。如何防止链路层被劫持？HTTPS是目前应对链路劫持应用最为广泛的解决方案。众所周知，传统的http是明文传输的，数据在http传输过程中很容易被窃取及监听，而HTTPS则不然，HTTPS是HTTP的安全版本，因此是解决链路层被劫持的可行性方案。

HTTPS证书的两大作用是数据加密传输和身份验证，如果只是进行数据加密仍不能解决问题，因为加密是对application data进行的，网络层的信息都没有被加密，而身份验证可以保证客户端访问的网站是经过CA验证的可信任的网站。所以这就杜绝了链路被劫持的可能。

链路层劫持较为底层，而且很多涉及运营商行为，所以不可能从根本上来防止(或者找到运营商，或者抓住黑客，当然运营商你是战胜不了的你懂得)。个人认为应对链路劫持一般可以考虑几个维度：业务层面、技术层面。所有的安全都是为业务服务的，在确保业务的前提下，做好安全防护措施。最重要的是技术层面加强有效检测、监控，包括对有关攻击技术的研究、对日志流量等数据的分析。当然，对企业来讲，我们只能够尽量做好自身，对于我们不可控的因素往往无能为力。总之，广域网一点都不安全，所以敏感信息传输一定要加密，还要高强度加密。

数安时代GDCA也建议各大网站通过部署SSL证书，实现HTTPS加密升级来保护用户的账户和密码等隐私信息，且部署SSL证书后，醒目的标志有助于用户区别假冒钓鱼网站，以防用户有不必要的损失。

在中国，通过国际Webtrust标准的认证的CA机构仅3家，具备了国际电子认证服务能力的CA机构，通过国际Webtrust标准的认证意味着CA机构的运营管理和服务水平符合国际标准，并且有能力、有资质提供全球化认证服务，是可靠电子认证服务的有效证明。其中一家就是数安时代GDCA，在国内是一个综合安全实力比较强的CA机构。需要购买SSL证书的企业或站长可以考虑一下，数安时代除了自主品牌GDCA，还有Symantec、Globalsign、GeoTrust等品牌，选择更多，一次性对比，提供行业最优惠的价格。有需要可以到官网咨询客服了解产品。