dayeah 大佬有话说 :
访问https页面会不会被DNS劫持
浙江电信宽带DNS被劫持老是跳广告。电信技术人员说让我访问https就没事了。是不是骗人的
xuxu 大佬有话说 :
你有没有反问你怎么知道?是不是你们弄的:lol
apdc 大佬有话说 :
作者:Biglee大李子
链接:https://www.zhihu.com/question/62287096/answer/198401011
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
https可以防止http劫持,但是无法防止dns劫持,因为dns劫持发生在你和web 服务器建立连接之前。打个比方,你要去超市买东西,dns是出租车,把你送到超市门口(web服务器),https能防止超市给你的商品里加了假货,但是你tm一开始就上了**(dns劫持)把你给拐跑了还买个蛋啊!防止dns劫持,很难,尤其对于小运营商的用户,被劫持的概率非常大。如果你认为用户只要使用8.8.8.8或者119.29.29.29等公共dns就可以避免劫持,那说明你还没发现运营商有多恶心,他们甚至在网关处伪造dns应答,抢答了目标递归dns给你的应答。看你的提问,是站在网站服务提供者的角度来问的,那就更难了,还是上面那个例子,你作为一个超市,想要防止客人被**拐跑,你觉得可能吗?我提供三种思路:第一个(我没试过),发现网站在某些地区运营商被劫持了,投诉工信部,让他们放开劫持。第二个,选用cdn服务。大部分小运营商dns劫持,是由于你的网站流量大,而源站又在网外,他们为了避免产生高额的网间结算费用,将被网内的dns请求劫持到网内他们自己的缓存服务器集群里。如果你用了cdn,被劫持的概率会略有下降,因为cdn厂商大多节点很多,以我司为例,国内几乎无孔不入,既然都在网内,他们就不会盯上你。即使被劫持,cdn厂商凭借和小运营商良好的沟通渠道(至少我司是这样,经常一个电话或者社交软件上和对方负责人说一句就会放开了),也很容易放开劫持。第三个,选用httpdns,这个我不熟,而且这个目前必须依赖sdk等,不能原生支持现有的dns系统。另外我觉得,httpdns是依赖http明文传输的,要不是现在用的人少,运营商才没有劫持,用的人多起来了难道运营商就不会采用http劫持的方式来篡改httpdns吗?以上一点愚见,欢迎指正。
aaalzk 大佬有话说 :
https不是有证书验证吗?先看看原理好不好
dayeah 大佬有话说 :
xuxu 大佬有话说 : 2020-3-11 11:04
你有没有反问你怎么知道?是不是你们弄的
问了,他们说 我们电信是不会干这种事的