談?wù)剣?guó)外網(wǎng)絡(luò)干擾那些事

極致的應(yīng)用體驗(yàn)應(yīng)該是每個(gè)應(yīng)用都應(yīng)該追求的,競(jìng)品間的體驗(yàn)差距應(yīng)該都是體現(xiàn)在細(xì)節(jié)方面钞它,如在差網(wǎng)絡(luò)下的視頻加載速度,加載大量圖片列表時(shí)的流暢度殊鞭,而網(wǎng)絡(luò)遭垛,則是這些體驗(yàn)的前提,如果網(wǎng)絡(luò)不通操灿,連數(shù)據(jù)都沒(méi)有辦法加載锯仪,這對(duì)于產(chǎn)品來(lái)說(shuō),是致命的趾盐,這很有可能導(dǎo)致辛辛苦苦運(yùn)營(yíng)積累的用戶的流失庶喜。對(duì)于在海外運(yùn)營(yíng)的產(chǎn)品來(lái)說(shuō),網(wǎng)絡(luò)問(wèn)題甚是重要谤碳,海外國(guó)家的網(wǎng)絡(luò)封鎖很嚴(yán)重溃卡,產(chǎn)品總是莫名會(huì)被封鎖掉,你都不知道封鎖的手段是什么蜒简。查到用戶封鎖的手段后瘸羡,你又得想應(yīng)對(duì)的策略。

本文主要總結(jié)下工作中由遇到的常見(jiàn)的客戶端網(wǎng)絡(luò)干擾手段搓茬,并提供一些常見(jiàn)問(wèn)題的解決思路犹赖。

目前,遇到的網(wǎng)絡(luò)干擾(封禁)主要有以下幾種手段:

  • DNS 劫持(污染)卷仑;
  • 域名 封禁峻村;
  • IP 封禁;
  • 基于深度包檢測(cè)技術(shù)的封禁锡凝;

1 DNS劫持(污染)

DNS劫持(污染)是指一些刻意制造或無(wú)意中制造出來(lái)的域名服務(wù)器數(shù)據(jù)包粘昨,把域名指向不正確的IP地址(或運(yùn)營(yíng)商自己的IP地址),如把某應(yīng)用的域名解析為:127.0.0.1的本地地址。

對(duì)應(yīng)的解決辦法只有自己去做 DNS的解析窜锯,基于這一點(diǎn)可以變化出幾種策略:

  • 自建DNS解析服務(wù)器张肾,應(yīng)用內(nèi)的dns解析請(qǐng)求都發(fā)到自己服務(wù)器去處理;
  • 應(yīng)用內(nèi)維持一份域名跟對(duì)應(yīng)服務(wù)器IP的映射锚扎,定時(shí)更新客戶端保持的域名跟IP的配置吞瞪;
  • 直接通過(guò)IP訪問(wèn)(這基本不現(xiàn)實(shí));

在具體的實(shí)踐過(guò)程中,可以根據(jù)應(yīng)用的特點(diǎn)驾孔,將這幾種策略進(jìn)行組合芍秆,在不同的場(chǎng)景下選擇不同的策略惯疙,如發(fā)現(xiàn)服務(wù)器訪問(wèn)不了時(shí),先采用配置里的Ip進(jìn)行訪問(wèn)等等妖啥;

2 域名封禁

域名封禁是指封鎖掉某個(gè)應(yīng)用服務(wù)器的訪問(wèn)霉颠,一般是通過(guò)查看http請(qǐng)求頭里的 host字段是否是要封禁的域名; 還有一種方式運(yùn)營(yíng)商把所有的域名都解析到自己的機(jī)房里荆虱,然后在自有機(jī)房去通過(guò)某種策略來(lái)決定是否讓這個(gè)請(qǐng)求繼續(xù)(我們查看的數(shù)據(jù)就是域名被解析到某運(yùn)營(yíng)商的網(wǎng)段去了掉分,但同個(gè)域名下有的請(qǐng)求可能是成功的,有的請(qǐng)求卻失敗了)克伊;

應(yīng)對(duì)方式:域名封禁的話,就只能通過(guò)換域名的方式來(lái)解決了华坦;

3 IP 封禁

IP封禁是指訪問(wèn)某個(gè)服務(wù)器的請(qǐng)求沒(méi)有辦法正常獲得響應(yīng)愿吹; 不管是 HTTP(s)請(qǐng)求還是TCP(UDP)請(qǐng)求都需要有一個(gè)目標(biāo)地址(IP),當(dāng)運(yùn)營(yíng)商檢測(cè)到目標(biāo)地址是需要封禁時(shí)惜姐,可以直接讓請(qǐng)求超時(shí)或者沒(méi)有辦法獲得響應(yīng)等犁跪;

應(yīng)用方式:目前基本上是使用代理(中介)或者換服務(wù)器的方式來(lái)應(yīng)對(duì);
代理:
-對(duì)于HTTP請(qǐng)求來(lái)說(shuō)歹袁,可以部署下新的nginx 服務(wù)器坷衍,把請(qǐng)求接收后再轉(zhuǎn)發(fā)到真正的機(jī)房去處理;
-對(duì)于TCP(UDP)來(lái)說(shuō)条舔,就是網(wǎng)絡(luò)包里的目標(biāo)地址是代理服務(wù)器的地址枫耳,而真正的服務(wù)器的地址則放在body里,代理服務(wù)器在接收到包后孟抗,解析出body后迁杨,把數(shù)據(jù)包路由轉(zhuǎn)發(fā)到真正的處理服務(wù)器上;

4 基于深度包檢測(cè)技術(shù)的封禁

深度包檢測(cè) 主要是通過(guò)檢測(cè)數(shù)據(jù)包中的數(shù)據(jù)部分的特殊來(lái)匹配特定協(xié)議或某種應(yīng)用的特征凄硼,然后決定是否可以路由到其他地方铅协,深度包檢測(cè)一般是針對(duì)TCP(UDP)這種,下面的討論也是針對(duì)TCP在進(jìn)行的摊沉;

由于深度包檢測(cè)技術(shù)它是根據(jù)應(yīng)用的數(shù)據(jù)特征來(lái)決定是否封禁狐史,這個(gè)封禁沒(méi)有絕對(duì)可行的應(yīng)對(duì)處理方式,因?yàn)椴煌瑖?guó)家不同運(yùn)營(yíng)商可能識(shí)別出的特征是不一樣的说墨; 從應(yīng)用開發(fā)者角度來(lái)說(shuō)骏全,只能是先探測(cè)出它是根據(jù)哪些識(shí)別出來(lái)的特征來(lái)封禁,探測(cè)出后則可以針對(duì)性的進(jìn)行修改婉刀;

應(yīng)用方式:通過(guò)各種手段將應(yīng)用的特征屏蔽掉吟温,下面舉幾個(gè)常用的手段:

4.1 http偽裝

傳統(tǒng)的tcp的數(shù)據(jù)包的格式是固定的,一般前面 40字節(jié)是首部突颊,剩下的就是內(nèi)容數(shù)據(jù)了鲁豪,深度包檢測(cè)一般是檢測(cè)內(nèi)容數(shù)據(jù)的潘悼,根據(jù)內(nèi)容數(shù)據(jù)生成一個(gè)特征,根據(jù)這個(gè)特征來(lái)決定是否要封禁這個(gè)數(shù)據(jù)包的爬橡。而http偽裝則是傳統(tǒng)的數(shù)據(jù)包的前面再加個(gè)http的頭部字段治唤,這些字段是由應(yīng)用自己根據(jù)http頭的結(jié)構(gòu)將http的內(nèi)容填充進(jìn)去的(直接將內(nèi)容放到body頭里也可以),由于是自己偽裝出來(lái)的http頭糙申,因此可以任意填充任何的host等各種http頭宾添,運(yùn)營(yíng)商的深度包檢測(cè)會(huì)認(rèn)為為是一個(gè)傳統(tǒng)的Http請(qǐng)求,而繞過(guò)它的檢測(cè)系統(tǒng)了柜裸,

正常情況下的 tcp數(shù)據(jù)包是這樣的:
+++++++++++++++++++++++++++++++++
|40字節(jié)的tcp/ip首部    |       tcp的內(nèi)容      |
+++++++++++++++++++++++++++++++++
而加了Http偽裝的數(shù)據(jù)包結(jié)構(gòu)則是:

+++++++++++++++++++++++++++++++++++++++++++++++
|40字節(jié)的tcp/ip首部  |  偽裝的http首部  |  tcp的內(nèi)容             |
+++++++++++++++++++++++++++++++++++++++++++++++

http偽裝可以把真正的數(shù)據(jù)放到http的body字段里缕陕,也可以把內(nèi)容放在http的后面,這個(gè)可以自己根據(jù)的需要去選擇組合疙挺。

而采用http偽裝的缺點(diǎn)就是會(huì)加大你的流量消耗扛邑,因?yàn)樘畛淞祟~外的數(shù)據(jù);

4.2 加密&隨機(jī)化

盡可能將自己的內(nèi)容加密傳輸铐然,最好是可以支持動(dòng)態(tài)變換加密算法

如果有其他更多更好的方式蔬崩,麻煩小伙伴分享下哈

參考

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市搀暑,隨后出現(xiàn)的幾起案子沥阳,更是在濱河造成了極大的恐慌,老刑警劉巖自点,帶你破解...
    沈念sama閱讀 211,817評(píng)論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件桐罕,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡樟氢,警方通過(guò)查閱死者的電腦和手機(jī)冈绊,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,329評(píng)論 3 385
  • 文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)埠啃,“玉大人死宣,你說(shuō)我怎么就攤上這事〔昕” “怎么了毅该?”我有些...
    開封第一講書人閱讀 157,354評(píng)論 0 348
  • 文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)潦牛。 經(jīng)常有香客問(wèn)我眶掌,道長(zhǎng),這世上最難降的妖魔是什么巴碗? 我笑而不...
    開封第一講書人閱讀 56,498評(píng)論 1 284
  • 正文 為了忘掉前任朴爬,我火速辦了婚禮,結(jié)果婚禮上橡淆,老公的妹妹穿的比我還像新娘召噩。我一直安慰自己母赵,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,600評(píng)論 6 386
  • 文/花漫 我一把揭開白布具滴。 她就那樣靜靜地躺著凹嘲,像睡著了一般。 火紅的嫁衣襯著肌膚如雪构韵。 梳的紋絲不亂的頭發(fā)上周蹭,一...
    開封第一講書人閱讀 49,829評(píng)論 1 290
  • 那天,我揣著相機(jī)與錄音疲恢,去河邊找鬼凶朗。 笑死,一個(gè)胖子當(dāng)著我的面吹牛显拳,可吹牛的內(nèi)容都是我干的俱尼。 我是一名探鬼主播,決...
    沈念sama閱讀 38,979評(píng)論 3 408
  • 文/蒼蘭香墨 我猛地睜開眼萎攒,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來(lái)了矛绘?” 一聲冷哼從身側(cè)響起耍休,我...
    開封第一講書人閱讀 37,722評(píng)論 0 266
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎货矮,沒(méi)想到半個(gè)月后羊精,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 44,189評(píng)論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡囚玫,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,519評(píng)論 2 327
  • 正文 我和宋清朗相戀三年喧锦,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片抓督。...
    茶點(diǎn)故事閱讀 38,654評(píng)論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡燃少,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出铃在,到底是詐尸還是另有隱情阵具,我是刑警寧澤,帶...
    沈念sama閱讀 34,329評(píng)論 4 330
  • 正文 年R本政府宣布定铜,位于F島的核電站阳液,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏揣炕。R本人自食惡果不足惜帘皿,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,940評(píng)論 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望畸陡。 院中可真熱鬧鹰溜,春花似錦虽填、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 30,762評(píng)論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)。三九已至仁期,卻和暖如春桑驱,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背跛蛋。 一陣腳步聲響...
    開封第一講書人閱讀 31,993評(píng)論 1 266
  • 我被黑心中介騙來(lái)泰國(guó)打工熬的, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人赊级。 一個(gè)月前我還...
    沈念sama閱讀 46,382評(píng)論 2 360
  • 正文 我出身青樓押框,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親理逊。 傳聞我的和親對(duì)象是個(gè)殘疾皇子橡伞,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,543評(píng)論 2 349

推薦閱讀更多精彩內(nèi)容