極致的應(yīng)用體驗(yàn)應(yīng)該是每個(gè)應(yīng)用都應(yīng)該追求的,競(jìng)品間的體驗(yàn)差距應(yīng)該都是體現(xiàn)在細(xì)節(jié)方面钞它,如在差網(wǎng)絡(luò)下的視頻加載速度,加載大量圖片列表時(shí)的流暢度殊鞭,而網(wǎng)絡(luò)遭垛,則是這些體驗(yàn)的前提,如果網(wǎng)絡(luò)不通操灿,連數(shù)據(jù)都沒(méi)有辦法加載锯仪,這對(duì)于產(chǎn)品來(lái)說(shuō),是致命的趾盐,這很有可能導(dǎo)致辛辛苦苦運(yùn)營(yíng)積累的用戶的流失庶喜。對(duì)于在海外運(yùn)營(yíng)的產(chǎn)品來(lái)說(shuō),網(wǎng)絡(luò)問(wèn)題甚是重要谤碳,海外國(guó)家的網(wǎng)絡(luò)封鎖很嚴(yán)重溃卡,產(chǎn)品總是莫名會(huì)被封鎖掉,你都不知道封鎖的手段是什么蜒简。查到用戶封鎖的手段后瘸羡,你又得想應(yīng)對(duì)的策略。
本文主要總結(jié)下工作中由遇到的常見(jiàn)的客戶端網(wǎng)絡(luò)干擾手段搓茬,并提供一些常見(jiàn)問(wèn)題的解決思路犹赖。
目前,遇到的網(wǎng)絡(luò)干擾(封禁)主要有以下幾種手段:
- DNS 劫持(污染)卷仑;
- 域名 封禁峻村;
- IP 封禁;
- 基于深度包檢測(cè)技術(shù)的封禁锡凝;
1 DNS劫持(污染)
DNS劫持(污染)是指一些刻意制造或無(wú)意中制造出來(lái)的域名服務(wù)器數(shù)據(jù)包粘昨,把域名指向不正確的IP地址(或運(yùn)營(yíng)商自己的IP地址),如把某應(yīng)用的域名解析為:127.0.0.1的本地地址。
對(duì)應(yīng)的解決辦法只有自己去做 DNS的解析窜锯,基于這一點(diǎn)可以變化出幾種策略:
- 自建DNS解析服務(wù)器张肾,應(yīng)用內(nèi)的dns解析請(qǐng)求都發(fā)到自己服務(wù)器去處理;
- 應(yīng)用內(nèi)維持一份域名跟對(duì)應(yīng)服務(wù)器IP的映射锚扎,定時(shí)更新客戶端保持的域名跟IP的配置吞瞪;
- 直接通過(guò)IP訪問(wèn)(這基本不現(xiàn)實(shí));
在具體的實(shí)踐過(guò)程中,可以根據(jù)應(yīng)用的特點(diǎn)驾孔,將這幾種策略進(jìn)行組合芍秆,在不同的場(chǎng)景下選擇不同的策略惯疙,如發(fā)現(xiàn)服務(wù)器訪問(wèn)不了時(shí),先采用配置里的Ip進(jìn)行訪問(wèn)等等妖啥;
2 域名封禁
域名封禁是指封鎖掉某個(gè)應(yīng)用服務(wù)器的訪問(wèn)霉颠,一般是通過(guò)查看http
請(qǐng)求頭里的 host字段是否是要封禁的域名; 還有一種方式運(yùn)營(yíng)商把所有的域名都解析到自己的機(jī)房里荆虱,然后在自有機(jī)房去通過(guò)某種策略來(lái)決定是否讓這個(gè)請(qǐng)求繼續(xù)(我們查看的數(shù)據(jù)就是域名被解析到某運(yùn)營(yíng)商的網(wǎng)段去了掉分,但同個(gè)域名下有的請(qǐng)求可能是成功的,有的請(qǐng)求卻失敗了)克伊;
應(yīng)對(duì)方式:域名封禁的話,就只能通過(guò)換域名的方式來(lái)解決了华坦;
3 IP 封禁
IP封禁是指訪問(wèn)某個(gè)服務(wù)器的請(qǐng)求沒(méi)有辦法正常獲得響應(yīng)愿吹; 不管是 HTTP(s)請(qǐng)求還是TCP(UDP)請(qǐng)求都需要有一個(gè)目標(biāo)地址(IP),當(dāng)運(yùn)營(yíng)商檢測(cè)到目標(biāo)地址是需要封禁時(shí)惜姐,可以直接讓請(qǐng)求超時(shí)或者沒(méi)有辦法獲得響應(yīng)等犁跪;
應(yīng)用方式:目前基本上是使用代理(中介)或者換服務(wù)器的方式來(lái)應(yīng)對(duì);
代理:
-對(duì)于HTTP請(qǐng)求來(lái)說(shuō)歹袁,可以部署下新的nginx 服務(wù)器坷衍,把請(qǐng)求接收后再轉(zhuǎn)發(fā)到真正的機(jī)房去處理;
-對(duì)于TCP(UDP)來(lái)說(shuō)条舔,就是網(wǎng)絡(luò)包里的目標(biāo)地址是代理服務(wù)器的地址枫耳,而真正的服務(wù)器的地址則放在body里,代理服務(wù)器在接收到包后孟抗,解析出body后迁杨,把數(shù)據(jù)包路由轉(zhuǎn)發(fā)到真正的處理服務(wù)器上;
4 基于深度包檢測(cè)技術(shù)的封禁
深度包檢測(cè) 主要是通過(guò)檢測(cè)數(shù)據(jù)包中的數(shù)據(jù)部分的特殊來(lái)匹配特定協(xié)議或某種應(yīng)用的特征凄硼,然后決定是否可以路由到其他地方铅协,深度包檢測(cè)一般是針對(duì)TCP(UDP)這種,下面的討論也是針對(duì)TCP在進(jìn)行的摊沉;
由于深度包檢測(cè)技術(shù)它是根據(jù)應(yīng)用的數(shù)據(jù)特征來(lái)決定是否封禁狐史,這個(gè)封禁沒(méi)有絕對(duì)可行的應(yīng)對(duì)處理方式,因?yàn)椴煌瑖?guó)家不同運(yùn)營(yíng)商可能識(shí)別出的特征是不一樣的说墨; 從應(yīng)用開發(fā)者角度來(lái)說(shuō)骏全,只能是先探測(cè)出它是根據(jù)哪些識(shí)別出來(lái)的特征來(lái)封禁,探測(cè)出后則可以針對(duì)性的進(jìn)行修改婉刀;
應(yīng)用方式:通過(guò)各種手段將應(yīng)用的特征屏蔽掉吟温,下面舉幾個(gè)常用的手段:
4.1 http偽裝
傳統(tǒng)的tcp的數(shù)據(jù)包的格式是固定的,一般前面 40字節(jié)是首部突颊,剩下的就是內(nèi)容數(shù)據(jù)了鲁豪,深度包檢測(cè)一般是檢測(cè)內(nèi)容數(shù)據(jù)的潘悼,根據(jù)內(nèi)容數(shù)據(jù)生成一個(gè)特征,根據(jù)這個(gè)特征來(lái)決定是否要封禁這個(gè)數(shù)據(jù)包的爬橡。而http偽裝則是傳統(tǒng)的數(shù)據(jù)包的前面再加個(gè)http的頭部字段治唤,這些字段是由應(yīng)用自己根據(jù)http頭的結(jié)構(gòu)將http的內(nèi)容填充進(jìn)去的(直接將內(nèi)容放到body頭里也可以),由于是自己偽裝出來(lái)的http頭糙申,因此可以任意填充任何的host等各種http頭宾添,運(yùn)營(yíng)商的深度包檢測(cè)會(huì)認(rèn)為為是一個(gè)傳統(tǒng)的Http請(qǐng)求,而繞過(guò)它的檢測(cè)系統(tǒng)了柜裸,
正常情況下的 tcp數(shù)據(jù)包是這樣的:
+++++++++++++++++++++++++++++++++
|40字節(jié)的tcp/ip首部 | tcp的內(nèi)容 |
+++++++++++++++++++++++++++++++++
而加了Http偽裝的數(shù)據(jù)包結(jié)構(gòu)則是:
+++++++++++++++++++++++++++++++++++++++++++++++
|40字節(jié)的tcp/ip首部 | 偽裝的http首部 | tcp的內(nèi)容 |
+++++++++++++++++++++++++++++++++++++++++++++++
http偽裝可以把真正的數(shù)據(jù)放到http的body字段里缕陕,也可以把內(nèi)容放在http的后面,這個(gè)可以自己根據(jù)的需要去選擇組合疙挺。
而采用http偽裝的缺點(diǎn)就是會(huì)加大你的流量消耗扛邑,因?yàn)樘畛淞祟~外的數(shù)據(jù);
4.2 加密&隨機(jī)化
盡可能將自己的內(nèi)容加密傳輸铐然,最好是可以支持動(dòng)態(tài)變換加密算法
如果有其他更多更好的方式蔬崩,麻煩小伙伴分享下哈
參考
[深度包檢測(cè)] (https://zh.wikipedia.org/wiki/深度包檢測(cè) )