运营商劫持是什么、运营商DNS网络劫持如何解决

最新推荐文章于 2023-04-03 10:31:40 发布

原创最新推荐文章于 2023-04-03 10:31:40 发布 · 3.1k 阅读

本内容遵循CC 4.0 BY-SA版权协议

运营商劫持分为DNS劫持和HTTP劫持，主要目的是增加广告和降低成本。DNS劫持通过返回错误IP或插入302跳转实现，HTTP劫持则通过拦截HTTP请求插入广告。解决方法包括使用DNS-over-HTTPS (DoH) 技术，如在Firefox中配置Cloudflare、NextDNS或WuGuiZone的DoH服务来增强DNS安全。

在网络安全中DDoS攻击和运营商劫持攻击出现的频率非常高，此外，还有之前的暴力破解和针对Web层的攻击，所以系统安全是一项非常重要的环节和技术手段。
运营商劫持分为DNS劫持与HTTP劫持两种。简单介绍一下DNS劫持与HTTP劫持的概念，即运营商通过某些方式篡改了用户正常访问的网页，插入广告或其他内容。在这里插入图片描述

首先，我们对运营商的劫持行为进行分析，他们的目的无非是赚钱与节约成本（即减少出站流量并降低成本），有以下两种赚钱的方法：
1、在普通网站上添加其他广告，包括网页或弹出广告窗口中的浮动层。
2、针对一些广告联盟或带推广链接的网站，加入推广尾巴。
IIS7网站监控工具可以做到提前预防各类网站劫持、并且是免费在线查询、适用于各大站长、政府网站、学校、公司、医院等网站。他可以做到24小时定时监控、同时它可以让你知道网站是否被黑、被入侵、被改标题、被挂黑链、被劫持、被墙及DNS是否被污染等等功能、更是拥有独家检测网站真实的完全打开时间、让你作为站长能清楚的知道自己网站的健康情况！
官方图在这里插入图片描述

官方地址：IIS7服务器管理工具

DNS劫持
一般来说，用户上网的DNS服务器是由运营商分配的，因此，在此节点上，运营商可以做他们想做的任何事情。例如，访问某讯的网站时，正常的DNS应该返回某讯的IP，而在被DNS劫持后，它将返回运营商的中间服务器IP。访问该服务器会一致性地返回302，使用户的浏览器跳至带有广告的预处理网页，在该网页中再通过iframe打开用户原来访问的地址。

此图就显示微云弹出的迷你浏览器直接跳转到某个导航网址页面。
HTTP劫持
在运营商的路由器节点上，设置协议检测，如果发现它是一个HTTP请求，并且它是HTTP类型请求，则会被拦截。随后的实践通常分为两种类型。第一个类似于DNS劫持，并返回302，以使用户的浏览器跳转到另一个地址。另一种方法是将JS或DOM节点（广告）插入服务器返回的HTML数据中。从用户的角度来看，这些劫持的表现如下：网址无辜跳转，多了推广尾巴。页面出现额外的广告（IFRAM模式或者直接同页面插入了DOM节点）。
DNS劫持之所以发生，一个重点问题在于数据的明文传输，即你的运营商是知道你要获取哪个网站的IP的，这使得如果这个IP在它的黑名单中，它就会返回一个错误的IP导致你无法正常访问网站。
这和我们之前推送过的一篇文章是殊途同归的。
学个锤子 | 简要说明 HTTPS 是如何保证数据安全的

有兴趣的同学可以再去看看。
而对于DNS的加密方案，我们同样选择了给它套一层HTTPS，使得数据被加密，运营商无法对其进行伪造。
这项技术我们称之为DNS-over-HTTPS(简写为DoH)。
04
在火狐中使用DoH

虽然我是Chrome浏览器的忠实粉丝，但很遗憾的是，就目前而言，谷歌浏览器依旧不支持使用自定义的DoH，其内置的DoH（8.8.8.8）在国内又无法使用。
因此暂时我们只能使用火狐浏览器来研究DoH的妙用。
开始之前，请确认你的Firefox版本是78.0以上（如果你用的是Firefox ESR请重新装一个Stable版本，如果是Beta或Nightly那么想必也是没有问题的）
1.打开Firefox，在地址栏输入 about:config ，如果有警告信息，请放心的点击“接受风险并继续”
2.在高级选项中，搜索Network.trr，并修改以下内容：

network.trr.mode：3
network.trr.resolvers：
[{ “name”: “Cloudflare”, “url”: “https://mozilla.cloudflare-dns.com/dns-query” },{ “name”: “NextDNS”, “url”: “https://firefox.dns.nextdns.io/” },{ “name”: “WuGuiZone(Secure)”, “url”: “https://dns.wugui.zone/dns-query” },{ “name”: “WuGuiZone(Asia Optimiztie)”, “url”: “https://dns-asia.wugui.zone/dns-query” }]

修改完成后请不要忘记点击右边的蓝色勾勾图标保存
重启Firefox（如果没有装什么会让Firefox在后台运行的插件，只要叉掉它再打开就行了）4.进入Firefox选项
拉到最底下，在“网络设置”中勾选“启用基于 HTTPS 的 DNS”，并根据需要选择WuGuiZone(Secure)或WuGuiZone(Asia Optimiztie)以使用我们的DoH递归解析服务
在地址栏输入http://nstool.netease.com/ 查看dns是否已经不在中国（如果你系统中设置的dns也是海外的，请手动查询ip，我们的上游是dnslify和opendns）
因为DNS涉及域名的解析，如果被解析到一些糟糕的网站，比如钓鱼网站，这会导致很大的风险。
上述教程所使用的DoH由我的朋友@大乌龟提供，支持EDNS，无日志，因此你不用担心它的安全性。
但得注意，此文截至发布，所有服务运转正常，但无法保证在您看到这篇文章时，依旧运行正常，请关注我们的公众号，如有项目变动我会及时通知。