运营商DNS劫持推广网站能实现吗?

只在用户输错网址时才会显示广告内容,太不给力了吧?!运营商DNS劫持推广网站能实现吗?特别是现在大多数人多用手机 APP 或是用搜索引擎找网站,根本不可能输错网址好不好!更可气的是现在居然有了很多第三方的无劫持的公共 DNS (这里有一份公共 DNS 列表),由于没有广告,用户都跑去用他们的服务了,这可不妙。于是运营商灵机一动,转而在 HTTP 协议上做手脚。
HTTP 协议是万维网( WWW )的基石。浏览网页时,地址覧最前方的 http://即表示当前正使用 HTTP 协议(现最新版的 Chrome 、 Safari 、 Edge 会隐藏这个协议前缀,可能以后的小白越来越不知道什么是 HTTP 了)。
目前手机上的 APP 和服务器通信时大多也采用 HTTP (基于 HTTP 的 API 或者直接内嵌网页),只是你不能用肉眼一下子看出来而已。
HTTP 协议本身未提供任何的安全措施,你和服务器之间的通信可以被任何中间设备窃听、记录、篡改,甚至目标服务器本身都可以伪造。
于是便有了:上网时正常页面被植入广告或恶意代码,连使用手机 APP 都不能幸免(如求问怎么找到运营商劫持加广告的事实依据),上 A 网站却有一定机率被跳转到 B 网站等(如扒皮-联通是如何劫持任意网站到携程的),访问网站被多次跳转并被添加返利小尾巴等。
由于信息不加密,意味著运营商可以随意记录并出售你的上网数据。更为安全的 HTTPS 协议则完全没有上述提到的问题,只要你别忽略浏览器的报的证书错误(如访问 12306.cn 时),你和服务器之间的连接就是安全的(当然你的设备要是中毒了当我没说)。之前淘宝没启用 HTTPS 加密连接之前,经常有人在淘宝上买完东西后马上收到诈骗电话,订单号、收件人等各种私密信息均被泄露,估计和某些运营商脱不了关系。

这种DNS劫持属于违法甚至犯罪行为,见青岛联通劫持百度流量被罚 20 万元 百度助警方破获全球首例打击流量劫持刑事案件。
目前,国内外的许多网站已开启全站 HTTPS 加密,如 Google 的各类产品(包括 YouTube )、 Facebook 、 Twitter 、 Wikipedia 、淘宝、天猫、百度搜索。另外知乎和 V2EX 都已支持 HTTPS 方式访问(但没有强制 HTTPS ),听京东的同学讲京东也正在测试全站 HTTPS 。 Google 已经表示对于启用全站 HTTPS 的站点,在搜索排名上会优先显示,鼓励各网站启用 HTTPS 。新版的 Chrome 和 Firefox 浏览器已经支持速度更快的 HTTP/2 ,但只支持启用了 HTTPS 的站点。可见,将来会有越来越多的网站转而使用 HTTPS ,明文的 HTTP 会被冷落, HTTP 劫持终会成为历史。

未经允许不得转载:黑帽SEO-黑帽SEO培训 » 运营商DNS劫持推广网站能实现吗?

赞 (0)

评论 0

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址