如何应用HTTPDNS及全站HTTPS协议避免域名被劫持？-墨者安全-ChinaUnix博客

墨者安全的ChinaUnix博客

首页　| 　博文目录　| 　关于我

墨者安全

博客访问： 14241
博文数量： 7
博客积分： 0
博客等级：民兵
技术积分： 80
用户组：普通用户
注册时间： 2019-06-17 18:47

文章分类

全部博文（7）

知识产权（0）
网络安全（3）
DDOS（4）
未分配的博文（0）

文章存档

2019年（7）

我的朋友

相关博文

如何应用HTTPDNS及全站HTTPS协议避免域名被劫持？

分类：网络与安全

2019-06-17 18:51:00

域名对于公司重要吗？毋庸置疑的当然是很重要，域名就相当于一个门牌号，如果您去拜访别人，不知道门牌，是不是很耽误事呢？那么域名被劫持的可能性有哪几种呢？

1.运营商劫持，运营商在基础网络层面的对域名的劫持，主要是一个单方的县级或者市级，不会是针对所有地区。运营商为了减少跨ISP的流量结算，会在本网内缓存ICP的内容，广告联盟等甚至也会劫持域名替换广告，劫持域名解析是安全上的一大隐患，意味着可以任意操纵缓存，随意挂马。
2.DNS劫持，DNS服务器层面对于域名的劫持；
3.服务器劫持，黑客根据服务器的漏洞等原因入侵后，对数据文件进行篡改等；
4.本地劫持，有可能会因为电脑中病毒了，把域名做了跳转，当您打开看到的可能就是涉黄等网站，或者钓鱼的非法网站，或者会强行插入游戏等。
那么HTTPDNS的本质是利用HTTP协议来完成域名解析，防止被运营商劫持，通常使用HTTPDNS的客户端域名解析会使用互联网公司的服务器，绕过运营商的本地DNS，但是这一微小的转换，却带来了无数的收益。比如用户在客户端的域名解析请求将不会遭受到域名解析异常的困扰、能直接获取到用户IP，让用户可以访问最快的IDC节点、提供可靠的域名解析服务，可以实现自有调度逻辑与返回结果相结合，实现更精细化的流量调度，扩展性高。

全站HTTPS主要解决当前越来越严峻的网民隐私泄露问题，减少被中间人监听和会话劫持的可能。最初的HTTPS主要用在登录和交易环节。墨者安全觉得目前国内根据互联网的趋势也逐渐步入了全站HTTPS时代，不过这是一个大的工程，所以安全方面更加被重视。大型站点除了Web服务器需要支持HTTPS以外，CDN也需要支持HTTPS，可能要把网站的私钥提供给CDN服务商，这样就产生了第三方的风险存在。因此要对协议层进行加密，Flexible SSL就是对客户端浏览器到CDN间的HTTPS进行加密， HTTP协议用来回源。而Full SSL层不仅可以实现前者还可以将CDN到源站之间使用HTTPS，这个不包含校验服务端证书，而第三个层次支持全HTTPS，也会校验服务端证书的有效性。不过现阶段对于大多数站点，只做到Flexible SSL这一层，就可以缓解用户被劫持的问题，不过这个属于特定下场景。如果是金融行业的在线服务的HTTPS需要使用严格版本的SSL加密。
假如发生了网关流量被劫持，证书被替换， IDC测劫持流量的攻击行为时，在HTTPS的基础上，应用层需要再实现一次加密，客户端要先输入口令加密，然后再提交给服务端。
目前对于真正发生在IDC链路层的劫持，尽可能做到在跨IDC传输，跨安全域传输的时候使用加密通道。应用层支持全流量TLS或加密的VPN点对点连接。

现下以流量为王的时代，如果被域名被封，被劫持，造成的损失也会不小，小编我经常会被客户问到域名被劫持了怎么办？域名防封怎么做？不过这些都必须是建立在正规合法的业务范围内，根据用户的业务内容建议相对应的解决方案。

阅读(848) | 评论(0) | 转发(0) |

上一篇：没有了

下一篇：互联网企业如何选择网络安全防护公司？

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6