新闻、帮助、产品更新动态

最新的业界新闻,产品系统更新开发动态,帮助教程和活动发布

CDN系列学习文章(七)——DNS&HTTP劫持篇

发布日:2021-11-11 14:43       阅读数:

当你打开网页或者APP时,发现有些内容与当前业务几乎没有什么联系,而且这些内容有明显的营销或广告意图,这种场景大概率是劫持现象了。
 
1.为什么要劫持?
所谓劫持,顾名思义,正常通道被拦截。这里通道就是用户请求和响应的消息通道,劫持并不是阻塞消息通道,而是非法指向一些不合理节点或者返回一些不合理响应。
 
为什么会有劫持呢?归根到底利益驱动。一方面涉及到运营商之间网间结算的问题,这部分费用对小运营商来讲很昂贵,因此为了节省成本,小运营商会对某些域名流量进行劫持。另一方面做广告或者有针对性的引导,很多是劫持者为了插入广告而获利才做的劫持。
 
2.如何定义劫持?
劫持种类有很多,在CDN业务内常见有DNS劫持(域名劫持)和HTTP劫持(内容劫持)。
 
DNS劫持(域名劫持)
 
这类劫持就是DNS解析到的IP节点并非是该业务CDN覆盖节点IP,运营商为了节约省间或者运营商网间结算费用,将大流量域名内容缓存在自己节点,当用户发起DNS解析,直接解析到自己缓存节点。这类劫持现象是访问的资源可能不是最新的,有滞后性。该类劫持,CDN业务客户反馈,一般通过第三方(博睿&听云服务商)进行验证识别。
 
HTTP劫持(内容劫持)
 
302劫持。用户正常的请求能够请求到CDN节点,但是正常请求返回200OK,通信链路修改HTTP响应头为302,并插入location字段,导致用户强制跳转到非法节点响应。流程如下:

内容劫持。用户正常的请求能够请求到CDN节点,但是正常请求返回200OK,经过http请求被标示,并通过旁路设备改写HTTP响应内容(例如HTML插入iframe),抢先回包策略,响应给用户。

3.如何预防劫持?
针对CDN场景下的劫持,根据数据链路有以下几种方案
 
针对DNS劫持。由于LDNS解析是不可控的,这边建议业务使用HTTPDNS,然后DNS请求,来规避DNS劫持。各家云厂家都有成熟的HTTPDNS的SDK&API调用模式。详见https://cloud.tencent.com/document/product/379
针对HTTP劫持。全站业务使用HTTPS方案,注意这里指的是全站,并不是其中一个业务域名
CDN防劫持方案。1)全链路HTTPS  2)对内容的MD5验证  3)回源直接IP回源,减少回源链路DNS劫持。4)中间链路私有协议SDN传输。

编辑:航网科技   来源:腾讯云

本文版权归原作者所有 转载请注明出处

联系我们

客服部:深圳市龙华区龙胜商业大厦5楼B5区

业务部:深圳市南山区讯美科技广场2栋12楼1202

资质证书

  • Copyright © 2011-2020 www.hangw.com. All Rights Reserved 深圳航网科技有限公司 版权所有 增值电信业务经营许可证:粤B2-20201122 - 粤ICP备14085080号

    在线客服

    微信扫一扫咨询客服


    全国免费服务热线
    0755-36300002

    返回顶部