DNS Domain Name System 域名ip关系。
Hosts文件 存储了 域名ip的对应关系。服务器内部把域名指向了内部ip。
DNS协议:
Domain name 指出这个条鱼适用于那个域名;
Time to live用来表情记录的生存周期,也就是最多可以魂村记录多长时间;
Type:记录的类型 a记录 cname;
Value:a记录是ip ,cname是域名
DNS解析过程 先查找本地域名服务器localserver【电信,联通等】,localserver没有,查找Root服务器。Root服务器返回权威服务器地址,localserver继续查找权威服务器,如果没有再去root请求另外的权威服务器,直到在最后找到,再有localserver返回给用户
linux dig命令查询A记录 dig www.baidu.com -t A+short
linux dig解析路径查询 dig www.baidu.com + trace 查询从根域名到指定域名可能经过的所有域名服务器
传统的域名有什么问题
区域域名服务器负责用户解析请求
没有机制保证域名映射是否正确
流氓域名服务器个该一些域名的解析结果
区域域名服务器被黑客攻击,恶意修改
引导用户一个错误的日志IP地址
以上就是DNS的劫持,目的是阻止用户访问某些特定的网站,引导用户到广告页面。
验证是否被劫持 nslookup命令 nslookup www.baidu.com whois网站去查 xxx.xxx.xxx.xxx这个ip是否是百度的。
DNS欺骗
用一个假的DNS应答来欺骗DSN请求用户。让其相信返回的假地址,并且抛出真正的DNS应答。具体步骤:
用户主机发出DNS请求,等待应答
如果此时有一个看起来正确的应答包(拥有和DNS请求一样的序列号),TA信以为真,并且抛弃稍晚到达应答包。
这个DNS欺骗的关键在于伪造一个特定序列号的应答包,对个人难度大,对骨干网络组织易如反掌。
验证是否被劫持 nslookup命令 nslookup www.baidu.com whois网站去查 xxx.xxx.xxx.xxx这个ip是否是百度的。
DNS解决方案
直接使用IP,客户端“android,ios”负责均衡处理(从服务器iplist中随机的选择服务器,iplist可以有版本号,根据版本号判断是否要更新,每个ip可以权重,来做有策略的均衡,或者把某个ip在iplist写两次)
使用HttpDNS-->HTTP协议(通过一个ip的方式访问自己的服务器,服务器中存储了IP列表,再返回要交互的ip)。使用HTTP协议的80端口,取代DNS协议的53端口。绕过DNS协议请求,解决运营local DNS劫持问题
流量劫持:DSN劫持,CDN劫持,网关劫持
最佳实践:尽可能选用HttpDNS,IP直连,监控。