教懂你什么是 “ 流量劫持 ”

Wo - 公号「八点半技术站」的创作者 - Bruce.D （姓氏：豆）。

今日主题：流量劫持、大家经常会看到公司的一些首页被插入一些小广告，这也就是流量劫持，今儿分享一下当前劫持的几个方法以及防劫持知识。

欢迎各位加入社群，技术交流不分语言、不分高低 。（本篇阅读预计花费：7分钟）

• 浏览器可能会缓存域名解析。

• 用户系统中的域名映射表（hosts）会缓存域名解析。

• 公共域名服务器通常由 ISP（互联网服务商）提供。

• 公共域名服务器会缓存上一级域名服务器的结果。

• 公共域名服务器 TTL 到期后，会向顶级域名服务器获取信息。

那么再提一个问题：如何污染 DNS？

常见的污染 DNS 方式有：

• 篡改 Hosts 文件；

• 污染中间链路设备（路由器等）；

• 修改 UDP内容，影响 DNS查询的结果；

• 入侵 DNS服务器（成本高）。
  

那么再提一个问题：如何抵御 DNS 劫持？

解决域名劫持的一个办法就是绕开安全性较差的 UDP协议，通过一个可信的源头来解析域名，解析方式不需要拘泥于 UDP协议，也可以通过 HTTP方式。

• 在 TLS 协议之上传输 DNS内容；

• 用 HTTP协议来传输 DNS； 

• 用 HTTPS协议来传输 DNS；

• 使用自己维护的 DNS服务器（成本高）。

‍

Content-Security-Policy (CSP) 

实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。

• 指定每种资源类型可以加载执⾏的条件。
• 还可以防御 XSS 攻击。
• 也可以⽤于强迫资源使用 HTTPS 加载，降低劫持可能性。
  
  

// 通过 http 头信息 Content-Security-Policy: default-src https:
// 通过 meta 标签 <meta http-equiv="Content-Security-Policy" content="default-src https:" />

• 由于 CSP 标识本身存在于 HTML 标签或者 HTTP 请求头中，可以被攻击者可以直接移除掉。
• 规则⽐较复杂。
• 影响动态创建脚本的使⽤。

Subresource Integrity (SRI)

<script crossorigin="anonymous" integrity=“sha256-+Ec97...E=“ src=“https://a.com"></script>

• 由于 SRI 标识 本身存在于 HTML 标签中，可以被攻击者可以直接移除掉。
• 影响动态创建脚本的使⽤。
• 校验失败时影响可⽤性。
• 兼容性有限，iOS Safari 不支持

劫持监控：

• ⽅案 A：在某些省份、地区⾃建监测站，定期抓取固定资源（资源太固定，监测站数量也远远不够）。
• ⽅案 B：业务⽅在⾃己的 HTML 中监听资源的 Error 事件（⽆法确认问题在于劫持，也可能只是普通的 JS 出错）。
• ⽅案 C：使⽤用第三⽅方企业服务进⾏监控（服务越多成本越⾼）。
• ⽅案 D：CSP、SRI（兼容性和灵活性差，⽆法进行⾃定义逻辑）。
  
  

• 监控的级别是业务级甚至页面级，而不是某个固定的资源。
• 在业务方的 Node.js 中内置逻辑，给予了业务方自己进行降级和响应的能力。
• 监控层如果出现故障，不影响业务方的代码执行。

恭喜你、又读完了一篇文章，有什么建议 & 反馈，留言区见。

同时，为了方便大家学习、交流、分享技术干货，可以扫下面二维码 ，备注 “技术进群” 就可以通过审核。

进群的小伙伴请加右侧私人微信（备注：技术进群）

-----商务合作分隔线----

商务合作，关注公众号回复“商务合作”