https防流量劫持

ox10 前言

互联网经过多年的发展，可是网站使用的底层协议仍是 HTTP，HTTP 作为一种明文传播协议，所有的传输数据都是明文，我们都知道在通信中使用明文(不加密) 内容可能会被窃听，同时网站存在被劫持的风险。

目前出现的劫持现象更是五花八门：搜索引擎劫持、网络劫持、浏览器劫持、路由器劫持等常见的网站劫持，面对多种方式的网站劫持，我们应该如何应对？

0x11 限制网站权限

部分网站遭遇劫持主要由于非法服务器获取了 Web 网站文件及文件夹的读写权限，针对这个问题，我们可以利用服务器的安全设置、提高网站程序的安全性，以此防范 Web 劫持。

0x12 提升网站防 SQL 注入功能

SQL 注入通过利用 SQL 语言的特性，向 Web 数据库写入内容，获取权限，因此我们需要针对MS SQL Server 数据库中的小权限 sa 默认用户，建立一个只能访问本系统数据库的专一用户，并且为他配置最小权限。

0x13 配置 Web 站点文件夹及其操作权限

使用 Windows 系统中的超级管理员权限对 Web 站点文件和文件夹进行权限配置。将大部分人的权限配置为仅读权限，黑客在没有写权限的情况下，很难将木马程序植入，减少网站域名劫持的可能性。

0x14 定期清理 Web 网点中存在的可疑文件

不管黑客通过何种方式获取权限，在事件管理器中都会显示出异常情况，通过对异常事件和日期的分析，查看执行代码文件中是否被人注入代码或改动，并且对新增可执行代码进行清理。

0x20 HTTPS防劫持

由于公共 DNS、HttpDNS 的部署成本过高，有一定的技术难度，并且在面对无孔不入的流量劫持时难免会力有不逮。这时候网站开启 HTTPS 作为防劫持手段之一可以高效的解决这些问题。目前绝大部分网站也都已经启用 HTTPS 来加密。

0x21 http CS图解

http协议，在客户端和服务器端进行交互时，直接采用的明文传输的方式(裸奔)，交互的数据很容易被Hacker截获。[Http请求如下图]

0x22 https CS图解

HTTPS 协议就是HTTP+SSL/TLS，在 HTTP 的基础上加入 SSL /TLS 层，提供了内容加密、身份认证和数据完整性三大功能，最终目的就是为了加密数据，用于安全的数据传输。

SSL 协议在 HTTP 请求中增加了握手阶段，并且对明文 HTTP 请求、应答进行加密。SSL 握手阶段，客户端浏览器会进行服务器身份认证，确认客户端证书证书属于该目标网站并且证书本书有效的时候，并且通信双方还会共同使用一个加密和解密的会话密钥。[https图解如下]

在 SSL 握手阶段结束之后，服务端和客户端通过会话密钥对交互数据进行加密/解密操作，将HTTP 请求和应答经过加密之后才会发送到发送到网络上。

通过 SSL 协议对 Web 服务器的身份认证，使流量劫持导致的连接错误服务器情况被发现和终止，保证流量劫持无法实现。同时 HTTPS 在数据传输中对数据进行加密传输，保护数据不被窃取以及修改。

如何快速启用 HTTPS

鉴于启用 HTTPS 会带来一定的服务器资源消耗，目前大多数公司普遍的选择是直接使用国内的 CDN 服务，又拍云提供一站式 HTTPS 服务，简单几步就能完成全站 HTTPS 的部署，阿里云，百度云都有提供免费类证书（DVS）

[ 阿里云证书Dvs配置]http://blog.csdn.net/ZmeiXuan/article/details/78562883