Web如何应对流量劫持？

虽然互联网通过多年的发展，但是网站使用的底层协议还是 HTTP，HTTP 做为一种明文传播协议，全部的传输数据都是明文，咱们都知道在通讯中使用明文(不加密) 内容可能会被窃听，同时网站存在被劫持的风险。

上篇《网站莫名跳转，从百度谈什么是网站劫持？》中咱们讲到了搜索引擎劫持、网络劫持、浏览器劫持、路由器劫持等常见的网站劫持，面对多种方式的网站劫持，咱们应该如何应对？

限制网站权限

部分网站遭遇劫持主要因为非法服务器获取了 Web 网站文件及文件夹的读写权限，针对这个问题，咱们能够利用服务器的安全设置、提升网站程序的安全性，以此防范 Web 劫持。

提高网站 防 SQL 注入功能
SQL 注入经过利用 SQL 语言的特性，向 Web 数据库写入内容，获取权限，所以咱们须要针对MS SQL Server 数据库中的小权限 sa 默认用户，创建一个只能访问本系统数据库的专注用户，而且为他配置最小权限。

配置 Web 站点文件夹及其操做权限
使用 Windows 系统中的超级管理员权限对 Web 站点文件和文件夹进行权限配置。将大部分人的权限配置为仅读权限，黑客在没有写权限的状况下，很难将木马程序植入，减小网站域名劫持的可能性。

按期清理 Web 网点中存在的可疑文件
无论黑客经过何种方式获取权限，在事件管理器中都会显示出异常状况，经过对异常事件和日期的分析，查看执行代码文件中是否被人注入代码或改动，而且对新增可执行代码进行清理。

使用公共114DNS

让用户绕过运营商 local DNS，使用 114 DNS（国内最大的中立缓存 DNS），这种在技术实现上有比较大的难度，成本也比较高。在如今的状况下即便用户使用公共 DNS，也并不能彻底解决问题。先不论公共 DNS 是否也有在作劫持，最关键的是，运营商也会专门针对到公共 DNS 的流量作劫持。对于流量入口的把控，运营商不会放松警戒。
HttpDNS，防止 DNS 劫持
在移动客户端中加入一个域名解析模块，客户端经过 HTTP 的方式向网站的流量调度服务器请求 IP，流量调度服务器会根据用户所在位置给用户一个最优的IP。客户端在获取IP后直接用此IP来访问所需站点资源。

网站自身使用 HttpDNS 面临较高的成本，而经过又拍云提供的 HttpDNS 调度功能，能够最低成本的方式，有效防止 DNS 劫持。
△ HttpDNS 访问原理图
HTTPS 防劫持
因为公共 DNS、HttpDNS 的部署成本太高，有必定的技术难度，而且在面对无孔不入的 DNS 劫持时不免会力有不逮。这时候网站开启 HTTPS 做为防流量劫持手段之一能够高效的解决这些问题。目前绝大部分网站也都已经启用 HTTPS 来加密。HTTPS 协议就是HTTP+SSL/TLS，在 HTTP 的基础上加入 SSL /TLS 层，提供了内容加密、身份认证和数据完整性三大功能，最终目的就是为了加密数据，用于安全的数据传输。

△ HTTP 请求

△ HTTPS 请求
SSL 协议在 HTTP 请求中增长了握手阶段，而且对明文 HTTP 请求、应答进行加密。SSL 握手阶段，客户端浏览器会进行服务器身份认证，确认客户端证书证书属于该目标网站而且证书本书有效的时候，而且通讯双方还会共同使用一个加密和解密的会话密钥。

在 SSL 握手阶段结束以后，服务端和客户端经过会话密钥对交互数据进行加密/解密操做，将 HTTP 请求和应答通过加密以后才会发送到发送到网络上。

经过 SSL 协议对 Web 服务器的身份认证，使流量劫持致使的链接错误服务器状况被发现和终止，保证劫持没法实现。同时 HTTPS 在数据传输中对数据进行加密传输，保护数据不被窃取以及修改。

如何快速启用 HTTPS
鉴于启用 HTTPS 会带来必定的服务器资源消耗，目前大多数公司广泛的选择是直接使用国内的 CDN 服务，好比又拍云提供一站式 HTTPS 服务，简单几步就能完成全站 HTTPS 的部署，光是免费类证书就有2款，而付费证书在 3-5 天内便可完成申购。另一种能够直接在 Web 服务器上部署证书和私钥，能够去网上查看教程。

总结

面对 Web 流量劫持，首先咱们能够在网站层面限制读写权限，限制恶意代码的写入，其次能够经过公有 DNS 和 HttpDNS 来防止恶意 DNS 劫持。全站开启 HTTPS，加密数据传输，能够有效防止数据泄漏，同时解决流量劫持的问题。

传送门：免费 SSL 证书申请入口
推荐阅读：
HTTPS系列干货 ( 一）：HTTPS 原理详解
HTTPS系列干货（二）：突破这5个技术难点，HTTPS会好用到飞起来