流量劫持是一件很頭疼的事情,也是很多站長(zhǎng)面試的苦惱,然后也有很多站長(zhǎng)使用SSL證書(shū)去防止流量劫持,那么,SSL證書(shū)怎樣防流量劫持呢,下面聚名為您詳解一下以上問(wèn)題。
流量劫持總體來(lái)說(shuō)屬于中間人攻擊(Man-in-the-Middle Attack,MITM)的一種,本質(zhì)上攻擊者在通信兩端之間對(duì)通信內(nèi)容進(jìn)行嗅探和篡改,以達(dá)到插入數(shù)據(jù)和獲取關(guān)鍵信息的目的。目前互聯(lián)網(wǎng)上發(fā)生的流量劫持基本是兩種手段來(lái)實(shí)現(xiàn)。
域名劫持:通過(guò)劫持掉域名的 DNS 解析結(jié)果,將 HTTP 請(qǐng)求劫持到特定 IP 上,使得客戶端和攻擊者的服務(wù)器建立 TCP 連接,而非和目標(biāo)服務(wù)器直接連接,這樣攻擊者就可以對(duì)內(nèi)容進(jìn)行竊取或篡改。在極端的情況下甚至攻擊者可能偽造目標(biāo)網(wǎng)站頁(yè)面進(jìn)行釣魚(yú)攻擊。
直接流量修改:在數(shù)據(jù)通路上對(duì)頁(yè)面進(jìn)行固定的內(nèi)容插入,比如廣告彈窗等。在這種情況下,雖然客戶端和服務(wù)器是直接建立的連接,但是數(shù)據(jù)內(nèi)容依然可能遭到野蠻破壞。
能夠?qū)嵤┝髁拷俪值母驹?,?HTTP 協(xié)議沒(méi)有辦法對(duì)通信對(duì)方的身份進(jìn)行校驗(yàn)以及對(duì)數(shù)據(jù)完整性進(jìn)行校驗(yàn)。如果能解決這個(gè)問(wèn)題,則流量劫持將無(wú)法輕易發(fā)生。
HTTPS 如何防止劫持
HTTPS,是 HTTP over SSL 的意思,提到 HTTPS 就不得不先簡(jiǎn)單描述一下 SSL/TLS 協(xié)議。SSL 協(xié)議是 Netscape 在 1995 年首次提出的用于解決傳輸層安全問(wèn)題的網(wǎng)絡(luò)協(xié)議,其核心是基于公鑰密碼學(xué)理論實(shí)現(xiàn)了對(duì)服務(wù)器身份認(rèn)證、數(shù)據(jù)的私密性保護(hù)以及對(duì)數(shù)據(jù)完整性的校驗(yàn)等功能。1999 年 IETF 將 SSL 3.0 標(biāo)準(zhǔn)化,是為 TLS 1.0 版本,目前 TLS 協(xié)議的最新版本是版本,TLS 1.3 標(biāo)準(zhǔn)正在制定中。為了方便,下文將 SSL/TLS 協(xié)議都簡(jiǎn)稱為 SSL 協(xié)議。
SSL 協(xié)議在 HTTP 請(qǐng)求開(kāi)始之前增加了握手的階段,在 SSL 握手階段,客戶端瀏覽器會(huì)認(rèn)證服務(wù)器的身份,這是通過(guò)“證書(shū)”來(lái)實(shí)現(xiàn)的。SSL 握手階段結(jié)束之后,服務(wù)器和客戶端使用協(xié)商出的會(huì)話密鑰對(duì)交互的數(shù)據(jù)進(jìn)行加密/解密操作,對(duì)于 HTTP 協(xié)議來(lái)說(shuō),就是將 HTTP 請(qǐng)求和應(yīng)答經(jīng)過(guò)加密之后再發(fā)送到網(wǎng)絡(luò)上。
由此可見(jiàn),因?yàn)?SSL 協(xié)議提供了對(duì)服務(wù)器的身份認(rèn)證,所以 DNS 劫持導(dǎo)致連接錯(cuò)誤服務(wù)器的情況將會(huì)被發(fā)現(xiàn)進(jìn)而終止連接,最終導(dǎo)致 DNS 挾持攻擊無(wú)法實(shí)現(xiàn)。此外 SSL 協(xié)議還提供數(shù)據(jù)的加密和完整性校驗(yàn),這就解決了關(guān)鍵信息被嗅探以及數(shù)據(jù)內(nèi)容被修改的可能。
以上就是對(duì)SSL證書(shū)怎樣防流量劫持的全部介紹,如果想購(gòu)買SSl證書(shū),可直接聯(lián)系官網(wǎng)在線客服。