雖然互聯(lián)網(wǎng)經(jīng)過多年的發(fā)展，可是網(wǎng)站使用的底層協(xié)議仍是 HTTP，HTTP 作為一種明文傳播協(xié)議，所有的傳輸數(shù)據(jù)都是明文，我們都知道在通信中使用明文(不加密) 內(nèi)容可能會被竊聽，同時網(wǎng)站存在被劫持的風險。

網(wǎng)站劫持檢測

1、檢測網(wǎng)站是否被劫持
2、域名是否被墻
3、DNS污染檢測
4、網(wǎng)站打開速度檢測
5、網(wǎng)站是否被黑、被入侵、被改標題、被掛黑鏈

【深度檢測】
1、可以檢測多層js劫持、圖片劫持、FLASH劫持、地區(qū)電信劫持、DNS劫持、域名被墻、DNS污染
2、可以獲取嚴重占用加載時間的JS或者圖片、css等html所用文件
3、不支持搜索引擎快照劫持檢測
最長等待時間為10分鐘。 此項選擇考慮方向為：各大電信商鏈接檢測網(wǎng)站速度有快慢。

?

限制網(wǎng)站權(quán)限

部分網(wǎng)站遭遇劫持主要由于非法服務(wù)器獲取了 Web 網(wǎng)站文件及文件夾的讀寫權(quán)限，針對這個問題，我們可以利用服務(wù)器的安全設(shè)置、提高網(wǎng)站程序的安全性，以此防范 Web 劫持。

提升網(wǎng)站 防 SQL 注入功能
SQL 注入通過利用 SQL 語言的特性，向 Web 數(shù)據(jù)庫寫入內(nèi)容，獲取權(quán)限，因此我們需要針對MS SQL Server 數(shù)據(jù)庫中的小權(quán)限 sa 默認用戶，建立一個只能訪問本系統(tǒng)數(shù)據(jù)庫的專一用戶，并且為他配置最小權(quán)限。

配置 Web 站點文件夾及其操作權(quán)限
使用 Windows 系統(tǒng)中的超級管理員權(quán)限對 Web 站點文件和文件夾進行權(quán)限配置。將大部分人的權(quán)限配置為僅讀權(quán)限，黑客在沒有寫權(quán)限的情況下，很難將木馬程序植入，減少網(wǎng)站域名劫持的可能性。

定期清理 Web 網(wǎng)點中存在的可疑文件
不管黑客通過何種方式獲取權(quán)限，在事件管理器中都會顯示出異常情況，通過對異常事件和日期的分析，查看執(zhí)行代碼文件中是否被人注入代碼或改動，并且對新增可執(zhí)行代碼進行清理。

使用公共114DNS

讓用戶繞過運營商 local DNS，使用 114 DNS（國內(nèi)最大的中立緩存 DNS），這種在技術(shù)實現(xiàn)上有比較大的難度，成本也比較高。在現(xiàn)在的情況下即使用戶使用公共 DNS，也并不能完全解決問題。先不論公共 DNS 是否也有在做劫持，最關(guān)鍵的是，運營商也會專門針對到公共 DNS 的流量做劫持。對于流量入口的把控，運營商不會放松警惕。
HttpDNS，防止 DNS 劫持
在移動客戶端中加入一個域名解析模塊，客戶端通過 HTTP 的方式向網(wǎng)站的流量調(diào)度服務(wù)器請求 IP，流量調(diào)度服務(wù)器會根據(jù)用戶所在位置給用戶一個最優(yōu)的IP。客戶端在獲取IP后直接用此IP來訪問所需站點資源。

?

△ HttpDNS 訪問原理圖
HTTPS 防劫持
由于公共 DNS、HttpDNS 的部署成本過高，有一定的技術(shù)難度，并且在面對無孔不入的 DNS 劫持時難免會力有不逮。這時候網(wǎng)站開啟 HTTPS 作為防流量劫持手段之一可以高效的解決這些問題。目前絕大部分網(wǎng)站也都已經(jīng)啟用 HTTPS 來加密。HTTPS 協(xié)議就是HTTP+SSL/TLS，在 HTTP 的基礎(chǔ)上加入 SSL /TLS 層，提供了內(nèi)容加密、身份認證和數(shù)據(jù)完整性三大功能，最終目的就是為了加密數(shù)據(jù)，用于安全的數(shù)據(jù)傳輸。

△ HTTP 請求

△ HTTPS 請求
SSL 協(xié)議在 HTTP 請求中增加了握手階段，并且對明文 HTTP 請求、應答進行加密。SSL 握手階段，客戶端瀏覽器會進行服務(wù)器身份認證，確認客戶端證書證書屬于該目標網(wǎng)站并且證書本書有效的時候，并且通信雙方還會共同使用一個加密和解密的會話密鑰。

在 SSL 握手階段結(jié)束之后，服務(wù)端和客戶端通過會話密鑰對交互數(shù)據(jù)進行加密/解密操作，將 HTTP 請求和應答經(jīng)過加密之后才會發(fā)送到發(fā)送到網(wǎng)絡(luò)上。

通過 SSL 協(xié)議對 Web 服務(wù)器的身份認證，使流量劫持導致的連接錯誤服務(wù)器情況被發(fā)現(xiàn)和終止，保證劫持無法實現(xiàn)。同時 HTTPS 在數(shù)據(jù)傳輸中對數(shù)據(jù)進行加密傳輸，保護數(shù)據(jù)不被竊取以及修改。

服務(wù)器遠程桌面連接

?

如何快速啟用 HTTPS
鑒于啟用 HTTPS 會帶來一定的服務(wù)器資源消耗，目前大多數(shù)公司普遍的選擇是直接使用國內(nèi)的 CDN 服務(wù)，比如又拍云提供一站式 HTTPS 服務(wù)，簡單幾步就能完成全站 HTTPS 的部署，光是免費類證書就有2款，而付費證書在 3-5 天內(nèi)即可完成申購。另外一種可以直接在 Web 服務(wù)器上部署證書和私鑰，可以去網(wǎng)上查看教程。

總結(jié)

面對 Web 流量劫持，首先我們可以在網(wǎng)站層面限制讀寫權(quán)限，限制惡意代碼的寫入，其次可以通過公有 DNS 和 HttpDNS 來防止惡意 DNS 劫持。全站開啟 HTTPS，加密數(shù)據(jù)傳輸，可以有效防止數(shù)據(jù)泄漏，同時解決流量劫持的問題。

總結(jié)

以上是生活随笔為你收集整理的Web如何应对流量劫持？的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。