链路层劫持_链路劫持防止_ip地址查询

估计不少人误解了，稍稍做个普及 = = 目前没收到好处费但欢迎信风联系本人支付

首先要知道 DNS 服务器 是干什么的，具体解释请到维基百科查看，在此简单说明：

DNS 服务器 是用于把域名转换成 IP 地址的服务器

举个例子，你要找一家叫 g**gle 的店，DNS 服务器负责告诉你这家店在哪

仅此而已。

从 DNS 能发起什么攻击呢？假设某个 DNS 服务器是 小A 开的

1. 小A 看 g**gle 不顺眼，你去问 g**gle 时，DNS 告诉你一个错误的地址（IP）。可能是家空店（无法访问），也可能是个冒牌店铺（钓鱼网站）

2. 小A 想赚点外快，于是当你询问不存在的店铺（无正常解析的域名）时，他带你到了一个广告牌（广告站点）前面，告诉你这家店不存在，然后给你推荐点别的东西

仅此而已。

至于给正常的网站加广告？DNS 无能为力。或者说，成本太高。简单分析一下：

DNS 是没法干涉到 IP 地址的访问的，也就是说，只能通过返回自己 IP 地址来加广告。

仍以 小A 举例，这样的流程就是：用户访问 小A 的服务器，然后 小A 去访问真实的地址，回来处理一下，发给用户。

举个例子，你去淘宝买衣服，找了家店下单，这家店去找另一家店买了同样一件衣服，拿到之后往包裹里塞了一张自己的广告单，然后再寄给你。

零星几件倒是还能转的来，但要赶上个双十一呢？

那不就等于给自己机房来了个 CC 攻击嘛。

或许你会说，只发广告单不就好了嘛。

那要评价干啥啊 → 多来几次差评客户就知道是谁搞的鬼了。

------------------------我是分割线------------------------

真正的加广告怎么做？之前被运营商加广告的时候研究了一下，学名叫链路层劫持。

再举例，假设你访问网站就是在来回发快递，运营商即是快递公司（在此略过三次握手等等，只关注连接建立之后）。

首先你给网站发了个快递，告诉他我要 a 页面。

然后网站把网页打好包交给快递公司，货物开始运输。

但是快递公司里面有内鬼，他知道你要了什么，也知道怎么让你相信这个包裹是真的。于是他可以伪造一个假的包裹发给你。

由于快递公司有距离优势，所以这个内鬼总能让假包裹在真包裹到达之前送到你手里。

然后这个包裹上写了：这次交易已经结束，后面来的都是假包裹，请直接扔进垃圾堆。

所以真的也就变成假的了，直接被丢弃。

那网站那边呢？寄出去的包裹没信了啊。链路层劫持

没关系，内鬼会同时给网站写一封信，告诉他交易终止了，别再问了。

劫持达成。

------------------------我是分割线------------------------

个人建议：就这么用吧，且不说 DNS 无力监控其他内容，就算可以，你的请求内容也不值得专门分析（除非搞些容易被跨省的东西）

实在不行做个自己信得过的代理开最高级加密，不过这属于用效率换安全（也不一定安全？）

要不干脆告别互联网算了。

从协议层面来讲，这是 bug，没法避免。

但是一般运营商只会对特定请求做劫持（比如对 .js 文件的请求，可以直接往网页里加代码）

至于网络监控，HTTP 是明文的啊是明文的啊是明文的啊

你直接白纸黑字写上东西让别人转交还想保证不会被看？

就不用说好多简单加密都能破解了

链路层劫持不是国内专利，国外也有公司做这套设备，不过用来做广告的似乎还是国内的更多一点。

有人说 8.8.8.8？ Google 的 DNS 是还不错，不过你确定你用的是 Google 的？

打开 ping 看看，50ms 以下的肯定是假的，100ms 以下也悬。链路层劫持

IP 劫持也不是难事。

至于小众点的 DNS，没准真有资源玩转发那一手。（无指向，纯理论）

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-22987-1.html