在互聯(lián)網(wǎng)你的請求是如何被引導、劫持的？

2017-12-18 19:11:40 csdn　點擊量：評論 (0)

大多數(shù)的引導和劫持都是到cache設備上的，做cache有諸多好處，比如對于運營商而言可以節(jié)省網(wǎng)間流量（省錢）、提高用戶體驗（靜態(tài)內容、視頻等加速），對于網(wǎng)站主通過CDN做了cache后可以提高用戶體驗（加速）

大多數(shù)的引導和劫持都是到cache設備上的，做cache有諸多好處，比如對于運營商而言可以節(jié)省網(wǎng)間流量（省錢）、提高用戶體驗（靜態(tài)內容、視頻等加速），對于網(wǎng)站主通過CDN做了cache后可以提高用戶體驗（加速），當然也有非法獲利者通過cache設備洗流量加廣告等也掙到了錢，那么這個過程他們是怎么把一個請求引導到他們的服務器上的呢？？原理是什么？？？最近剛好遇到我們的業(yè)務被劫持的問題，趁此機會做一個總結，拋磚引玉供大家一起探討。我將其分為三個大類分別如下：

一、DNS正常引導

1、cname引導

此引導方式是大多數(shù)CDN廠商的做法，面向各網(wǎng)站主，用cname的方式為其提供接入CDN系統(tǒng)的入口，在操作上，一般CDN廠家會提供一個域名供網(wǎng)站主做cname使用，在做完cname的那一刻，你連接的服務器就由CDN廠家來控制了，也就成功將用戶請求智能的引導到他們的設備上去了。另外，要正常提供服務，主要得關注兩個問題，一個是cname解析，另一個是網(wǎng)站回源問題。

2、forword引導

此引導方式是大多數(shù)運營商的做法，他們有自己的DNS，有自己的寬帶用戶、專線用戶、無線用戶，為了節(jié)省網(wǎng)間流量成本的同時提高用戶體驗，他們會自建或找cache廠家合作進行cache集群建設，拿cache廠家為例，在操作上，運營商或cache廠家會先分析出一批可以做緩存的網(wǎng)間域名，然后將這些域名forword到cache廠家自建的DNS（二次開發(fā)后適合cache配置的）上，cache廠家的dns根據(jù)不同的解析規(guī)則（比如輪序、hash等）解析到后端的cache集群，進而成功的將用戶請求引導到了cache廠家的設備上，每臺緩存代理服務器會安裝bind并配置回源DNS（或者直接根域回源）。當然cache廠家也做了很好的高可用策略，比如說cache集群掛了訪問直接回源、兩臺DNS做高可用等等。

有同學問運營商為什么要用forword遞歸的方式，而不是迭代指定dns的方式.先說一下迭代和遞歸的區(qū)別，舉個例子,你向A詢問什么是互聯(lián)網(wǎng)，A不知道，他告訴我讓我問B或C然后就不管了，這叫迭代，但同樣如果A不知道，但他說雖然我不知道但我向B或C問清楚后再告訴你，這就是遞歸，很清楚了吧。遞歸有個好處，每經(jīng)過的環(huán)節(jié)能夠做到信息同步，所以用遞歸處理。下面是一個精簡的業(yè)務架構原理圖：

二、劫持污染

劫持和污染是運營商進行請求引導的另外一種重要方式，在操作上會在入口鏈路上使用分光設備將流量復制一份，復制后的流量使用流量分析設備進行分析處理，由于更靠近網(wǎng)內網(wǎng)民，設備會將要劫持的請求搶先將偽造的結果回傳給用戶，而這個結果就是欺騙網(wǎng)民去訪問指定的服務器，從而達到將請求劫持到cache服務集群上的效果，從劫持的請求看分為dns劫持和http劫持。有些同學叫這種dns引導方式為dns污染，因為感覺只是偽裝回復沒有劫持，反正不管怎么叫，都是這么一個理，畫了一張業(yè)務流程架構圖如下：

1、DNS劫持（污染）

DNS劫持（污染）是指流量分析劫持設備在分析到需要的DNS查詢請求后（一般為udp53號端口，要抓取的dns的ip地址設置白名單），搶先偽裝一個DNS回復請求給用戶，為什么會搶先呢，因為用戶和流量分析劫持設備是網(wǎng)內對網(wǎng)內，不管是時延也好還是其它鏈路質量也好，都要比網(wǎng)間要快很多很多，而udp的特點是沒有驗證機制，用戶會接受第一個查詢結果，其余的將會被拋棄。

2、http請求劫持

http請求劫持是指流量分析劫持設備在分析道需要的http請求后，偽裝客戶端給源站發(fā)一個reset標記斷開連接，然后偽裝源站給用戶回一個302重定向到cache設備上，比如說你訪問的是www.aaa.com/123.html，cache設備是1.1.1.1，被劫持后會發(fā)一個http://1.1.1.1/www.aaa.com/123.html的302重定向給用戶，用戶自然就被引導到1.1.1.1上面了。

三、透明代理引導

透明代理是將cache設備作為中間網(wǎng)關串聯(lián)到鏈路中去的，作為網(wǎng)關其實說白了cache設備要開啟路由轉發(fā)，承擔了路由器的作用，很多大的企事業(yè)單位為什么節(jié)約流量，會在其出口上安裝一臺這樣的設備，比如說原來需要買兩個G帶寬，在做了透明代理后只需要買1.5個G了，的對于用戶而言沒有任何需要操作的，所以叫透明代理。

透明代理也有兩種方式，都是基于iptable，一種是基于端口轉發(fā)，將目的地址是80的請求，轉發(fā)到本地啟用的比如說8080的cache應用上，由cache應用處理后為客戶提供服務，這種方式的弊端是有可能影響一些服務，因為80端口過來不一定全是http請求。另外一種是采用tcp旁路監(jiān)聽代理的方式tproxy，此種方式是非常好的，配置iptable的mangle表的PREROUTING鏈，對tcp的socket的連接打上mark標記，然后新建路由表讓打過標記的tcp通過，監(jiān)聽目的端口是80的tcp通過tproxy代理至8080的cache應用上，由cache應用處理后為客戶提供服務。

操作上，服務器要開啟路由轉發(fā)、開啟iptable，要安裝緩存代理軟件，然后進行相應的配置，當然在高可用性上要做到對路由的心跳，一旦代理服務器故障，直接跳過代理服務器到下一跳，保證業(yè)務的持續(xù)性。