Web如何應對流量劫持？

標籤：intern   ref   結束   許可權   存在   box   加密   原理圖   網站   

雖然互連網經過多年的發展，可是網站使用的底層協議仍是 HTTP，HTTP 作為一種明文傳播協議，所有的傳輸資料都是明文，我們都知道在通訊中使用明文(不加密) 內容可能會被竊聽，同時網站存在被劫持的風險。

上篇《網站莫名跳轉，從百度談什麼是網站劫持？》中我們講到了搜尋引擎劫持、網路劫持、瀏覽器劫持、路由器劫持等常見的網站劫持，面對多種方式的網站劫持，我們應該如何應對？

限制網站許可權

部分網站遭遇劫持主要由於非法伺服器擷取了 Web 網站檔案及檔案夾的讀寫權限，針對這個問題，我們可以利用伺服器的安全設定、提高網站程式的安全性，以此防範 Web 劫持。

提升網站 防 SQL 注入功能

SQL 注入通過利用 SQL 語言的特性，向 Web 資料庫寫入內容，擷取許可權，因此我們需要針對MS SQL Server 資料庫中的小許可權 sa 預設使用者，建立一個只能訪問本系統資料庫的專一使用者，並且為他配置最小許可權。

配置 Web 網站資料夾及其操作許可權

使用 Windows 系統中的超級管理員權限對 Web 網站檔案和檔案夾進行許可權配置。將大部分人的許可權配置為僅讀許可權，駭客在沒有寫入權限的情況下，很難將木馬程式植入，減少網站網域名稱劫持的可能性。

定期清理 Web 網點中存在的可疑檔案

不管駭客通過何種方式擷取許可權，在事件管理器中都會顯示出異常情況，通過對例外狀況事件和日期的分析，查看執行代碼檔案中是否被人注入代碼或改動，並且對新增可執行代碼進行清理。

使用公用114DNS

讓使用者繞過電訊廠商 local DNS，使用 114 DNS（國內最大的中立緩衝 DNS），這種在技術實現上有比較大的難度，成本也比較高。在現在的情況下即使使用者使用公用 DNS，也並不能完全解決問題。先不論公用 DNS 是否也有在做劫持，最關鍵的是，電訊廠商也會專門針對到公用 DNS 的流量做劫持。對於流量入口的把控，電訊廠商不會放鬆警惕。

HttpDNS，防止 DNS 劫持

在移動用戶端中加入一個網域名稱解析模組，用戶端通過 HTTP 的方式向網站的流量調度伺服器請求 IP，流量調度伺服器會根據使用者所在位置給使用者一個最優的IP。用戶端在擷取IP後直接用此IP來訪問所需網站資源。

網站使用 HttpDNS 面臨較高的成本，我們可以選擇國內公用雲端廠商比如又拍雲的 HttpDNS 調度功能，可以有效防止 DNS 劫持。

△ HttpDNS 訪問原理圖

HTTPS 防劫持

由於公用 DNS、HttpDNS 的部署成本過高，有一定的技術難度，並且在面對無孔不入的 DNS 劫持時難免會力有不逮。這時候網站開啟 HTTPS 作為防 DNS 劫持手段之一可以高效的解決這些問題。目前絕大部分網站也都已經啟用 HTTPS 來加密。HTTPS 協議就是HTTP+SSL/TLS，在 HTTP 的基礎上加入 SSL /TLS 層，提供了內容加密、身份認證和資料完整性三大功能，最終目的就是為了加密資料，用於安全的資料轉送。

 

△ HTTP 要求

△ HTTPS 請求

SSL 協議在 HTTP 要求中增加了握手階段，並且對明文 HTTP 要求、應答進行加密。SSL 握手階段，用戶端瀏覽器會進行伺服器身份認證，確認用戶端認證認證屬於該目標網站並且認證本書有效時候，並且通訊雙方還會共同使用一個加密和解密的工作階段金鑰。

在 SSL 握手階段結束之後，服務端和用戶端通過工作階段金鑰對互動資料進行加密/解密操作，將HTTP 要求和應答經過加密之後才會發送到發送到網路上。

通過 SSL 協議對 Web 服務器的身份認證，使 DNS 劫持導致的串連錯誤伺服器情況被發現和終止，保證 DNS 劫持無法實現。同時 HTTPS 在資料轉送中對資料進行加密傳輸，保護資料不被竊取以及修改。

如何快速啟用 HTTPS

鑒於啟用HTTPS會帶來大量的伺服器資源消耗，目前大多數公司普遍的選擇是直接使用國內的 CDN 服務，諸如又拍雲等提供一站式 HTTPS 服務，簡單幾步就能完成全站 HTTPS 的部署。這些服務商一般都提供免費和多種付費 SSL 憑證供個人和企業選擇，像又拍雲，光是免費類認證就有2款，而付費認證在 3-5 天內即可完成申購。

另外一種，我們可以直接在 Web 服務器上部署認證和私密金鑰，這個網上有教程可以查看，在此就不贅述了，大家可以去網上查看教程。

總結

面對 Web 流量劫持，首先我們可以在網站層面限制讀寫權限，限制惡意代碼的寫入，其次可以通過公有 DNS 和 HttpDNS 來防止惡意 DNS 劫持。全站開啟 HTTPS，加密資料傳輸，可以有效防止資料泄漏，同時解決 DNS 劫持的問題。

 

傳送門：免費 SSL 憑證申請入口

推薦閱讀：

HTTPS系列乾貨 ( 一）：HTTPS 原理詳解

HTTPS系列乾貨（二）：突破這5個技術痛點，HTTPS會好用到飛起來

Web如何應對流量劫持？