深入浅出FE（九）DNS和HTTP劫持问题

一、DNS劫持和HTTP劫持

二、DNS解析

三、http劫持

一、DNS劫持和HTTP劫持

DNS劫持表象：你输入一个google.com网址，出来的是百度的页面.

HTTP劫持表象：访问着github的页面，右下角出现了一个格格不入的广告弹窗.

如何判断所用的dns 有没有受到劫持，最简单的测试办法：用nslookup 去查询一个不存在的域名，如果返回一个IP，通过浏览打开这个IP会发现是一个广告页，那么这个DNS 已经被劫持了，如果返回** server can't find wwwsfsefse.com: NXDOMAIN 则未被劫持。

二、DNS解析

例：

未被劫持的DNS：

[root@mail ~]# nslookup serwr3rsf.com 61.235.70.98
Server:         61.235.70.98
Address:        61.235.70.98#53
** server can't find serwr3rsf.com: NXDOMAIN

已经被劫持的DNS：

# nslookup sfsef333sf.com  202.96.128.86
Server:         202.96.128.86
Address:        202.96.128.86#53
Non-authoritative answer:
Name:   sfsef333sf.com
Address: 61.140.3.66

[root@localhost ~]# yum install caching-nameserver[root@localhost ~]# chkconfig named on[root@localhost ~]# service named startStarting named:                                            [  OK  ]

编辑/etc/resolv.conf，改为下面的内容：

nameserver 127.0.0.1

测试：

[root@localhost ~]# nslookup www.google.com
Server:         127.0.0.1
Address:        127.0.0.1#53
Non-authoritative answer:
www.google.com  canonical name = www.l.google.com.
Name:   www.l.google.com
Address: 64.233.189.99
Name:   www.l.google.com
Address: 64.233.189.103
Name:   www.l.google.com
Address: 64.233.189.104
Name:   www.l.google.com
Address: 64.233.189.147
[root@localhost ~]# nslookup sefsf2sfef.com
Server:         127.0.0.1
Address:        127.0.0.1#53
** server can't find sefsf2sfef.com: NXDOMAIN

测试成功！

一般来说DNS劫持有这三种情况：

1.错误域名解析到纠错导航页面，导航页面存在广告。判断方法:访问的域名是错误的，而且跳转的导航页面也是官方的，如电信的114，联通移网域名纠错导航页面。

2.错误域名解析到非正常页面，对错误的域名解析到导航页的基础上，有一定几率解析到一些恶意站点，这些恶意站点通过判断你访问的目标HOST、URI、 referrer等来确定是否跳转广告页面，这种情况就有可能导致跳转广告页面（域名输错）或者访问页面被加广告（页面加载时有些元素的域名错误而触发）这种劫持会对用户访问的目标HOST、URI、 referrer等会进行判定来确定是否解析恶意站点地址，不易被发现。

3.直接将特点站点解析到恶意或者广告页面，这种情况比较恶劣，而且出现这种情况未必就是运营商所为，家里路由器被黑，或者系统被入侵，甚至运营商的某些节点被第三方恶意控制都有可能。具体情况要具体分析，这里就不展开了。

DNS劫持常见于使用自动的DNS地址，所以，不管有没有被劫持，尽量不要使用运营商默认的DNS。

三、http劫持

HTTP劫持：你DNS解析的域名的IP地址不变。在和网站交互过程中的劫持了你的请求。在网站发给你信息前就给你返回了请求。

HTTP劫持很好判断，当年正常访问一个无广告的页面时，页面上出现广告弹窗，八成就是运营商劫持了HTTP。

1、HTTP劫持怎么做到的呢？

一般来说 HTTP劫持主要通过下面几个步骤来做：

1.1 标识HTTP连接。在天上飞的很多连接中，有许多种协议，第一步做的就是在TCP连接中，找出应用层采用了HTTP协议的连接，进行标识。

1.2篡改HTTP响应体，可以通过网关来获取数据包进行内容的篡改。

1.3抢先回包，将篡改后的数据包抢先正常站点返回的数据包先到达用户侧，这样后面正常的数据包在到达之后会被直接丢弃。

2、HTTP劫持的手段有哪些？

一般通用的方法都是插入静态脚本或者是HTML Content，或者是将整体替换成Iframe，然后再在顶层的Iframe上进行内容的植入

3、如何防范HTTP劫持？

根据对抗HTTP劫持的时机来分类，可以主要分为三类：

事前加密
事中规避
事后屏蔽

3.1 事前加密

HTTPS

很大一部分HTTP劫持，主要的原因就是在传输数据时都是明文的，使用了HTTPS后，会在HTTP协议之上加上TLS进行保护，使得传输的数据进行加密，但是使用HTTPS，一定要注意规范，必须要全站使用HTTPS，否则只要有一个地方没有使用HTTPS，明文传输就很有可能会被HTTP劫持了

但是相应的，全部使用HTTPS，也会带来一些问题：

性能可能有所降低，因为多了TLS握手所带来的2次RTT延时（但是基于HTTPS之上的HTTP2可以更有效的提升性能）
由于运营商可能会使用DNS劫持，在DNS劫持之下，HTTPS的服务完全用不了了，所以会导致白屏

加密代理

加密代理的原理就是在用户侧和目标web服务器之间增加一个代理服务器，在用户和代理之间会经过运营商的节点，这里使用各种加密手段保证安全，在代理服务器与web服务之间使用HTTP请求，只需确认代理与web服务之间不会被HTTP劫持就可以避开HTTP劫持

3.2 事中加密

拆分HTTP请求数据包

在HTTP劫持的步骤中，第一步是标记TCP连接，因此只要躲过了标识，那么后续的运营商篡改就不会存在了，有一种方式就是拆分HTTP请求

拆分数据包就是把HTTP请求的数据包拆分成多个，运营商的旁路设备由于没有完整的TCP/IP协议栈，所以就不会被标志，而目标web服务器是有完整的TCP/IP协议栈，能接收到的数据包拼成完整的HTTP请求，不影响服务.

3.3 事后屏蔽

通过浏览器Api，根据若干规则去匹配DOM中的节点，对匹配到的节点作拦截和隐藏

CSP（内容安全策略），DOM事件监听等。

CSP是浏览器附加的一层安全层，用于对抗跨站脚本与数据注入，运营商植入内容性质与数据注入类似，因此，可以用CSP对抗运营商劫持。通过在HTTP响应头或meta标签设置好规则，支持拦截和上报劫持信息的功能。

DOM事件监听主要是监听DOMNodeInserted、DOMContentLoaded、DOMAttrModified等事件，可以在前端DOM结构发生变化时触发回调，这时补充一些检测逻辑，即可判断是不是业务的正常UI逻辑，如果不是，即可认为是来自劫持.