遭遇DNS劫持
- 前段時間,遭遇DNS劫持,導致客戶端不能連接到公司服務器,損失大大的……
什麼是DNS劫持
- 以下內容來自百度百科: DNS劫持又稱域名劫持,是指在劫持的網絡範圍內攔截域名解析的請求,分析請求的域名,把審查範圍以外的請求放行,否則返回假的IP地址或者什麼都不做使請求失去響應,其效果就是對特定的網絡不能反應或訪問的是假網址。
DNS(域名系統)的作用是把網絡地址(域名,以一個字符串的形式)對應到真實的計算機能夠識別的網絡地址(IP地址),以便計算機能夠進一步通信,傳遞網址和內容等。由於域名劫持往往只能在特定的被劫持的網絡範圍內進行,所以在此範圍外的域名服務器(DNS)能夠返回正常的IP地址,高級用戶可以在網絡設置把DNS指向這些正常的域名服務器以實現對網址的正常訪問。所以域名劫持通常相伴的措施——封鎖正常DNS的IP。如果知道該域名的真實IP地址,則可以直接用此IP代替域名後進行訪問。比如訪問百度域名,可以把訪問改爲202.108.22.5,從而繞開域名劫持 。 - 圖示
![dns_jiechi_baike]()
解決思路
- IP直連,httpdns的原理非常簡單,主要有兩步:A、客戶端直接訪問HttpDNS接口(直接用ip地址訪問),獲取業務在域名配置管理系統上配置的訪問延遲最優的IP。(基於容災考慮,還是保留次選使用運營商LocalDNS解析域名的方式)B、客戶端向獲取到的IP後就向直接往此IP發送業務協議請求。以Http請求爲例,通過在header中指定host字段,向HttpDNS返回的IP發送標準的Http請求即可。
![httpdns]()
- https,注意https是解決鏈路劫持的方案,並無法解決DNS劫持的問題。https安全但性能稍差。
- 其他……
