dns劫持和http劫持-增加ssl

  简单介绍一下HTTP劫持和DNS劫持的概念，也就是运营商通过某些方式篡改了用户正常访问的网页，插入广告或者其他一些杂七杂八的东西。

 

    首先对运营商的劫持行为做一些分析，他们的目的无非就是赚钱，而赚钱的方式有两种：

    1、对正常网站加入额外的广告，这包括网页内浮层或弹出广告窗口；

    2、针对一些广告联盟或带推广链接的网站，加入推广尾巴。例如普通访问百度首页，被前置跳转为 http://www.baidu.com/?tn=90509114_hao_pg 

 

 

     在具体的做法上，一般分为DNS劫持和HTTP劫持。

     DNS劫持：

    一般而言，用户上网的DNS服务器都是运营商分配的，所以，在这个节点上，运营商可以为所欲为。

    例如，访问http://h5.xgame9.com，正常DNS应该返回公司的的ip，而DNS劫持后，会返回一个运营商的中间服务器ip。访问该服务器会一致性的返回302，让用户浏览器跳转到预处理好的带广告的网页，在该网页中再通过iframe打开用户原来访问的地址。

     HTTP劫持：

    在运营商的路由器节点上，设置协议检测，一旦发现是HTTP请求，而且是html类型请求，则拦截处理。后续做法往往分为2种，1种是类似DNS劫持返回302让用户浏览器跳转到另外的地址，还有1种是在服务器返回的HTML数据中插入js或dom节点（广告）。

 

 

     在用户角度，这些劫持的表现分为：

    1、网址被无辜跳转，多了推广尾巴；

    2、页面出现额外的广告（iframe模式或者直接同页面插入了dom节点）。

这么无赖的方法，真的只有去申请或者买一个证书。

下面是搞出了证书的公钥和密钥 linux+nginx环境下配置安装SSL证书

复制server.key、server.pem文件到Nginx安装目录下的conf目录。
打开Nginx安装目录下conf目录中的nginx.conf文件
找到

    # HTTPS server
    #
    #server {
    #    listen       443;
    #    server_name  localhost;
    #    ssl                  on;
    #    ssl_certificate      cert.pem;
    #    ssl_certificate_key  cert.key;
    #    ssl_session_timeout  5m;
    #    ssl_protocols  SSLv2 SSLv3 TLSv1;
    #    ssl_ciphers  ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
    #    ssl_prefer_server_ciphers   on;
    #    location / {
    #        root   html;
    #        index  index.html index.htm;
    #    }
    #} 

将其修改为
 

  server {
        listen       443;
        server_name  localhost;
        ssl                  on;
        ssl_certificate      server.pem;
        ssl_certificate_key  server.key;
        ssl_session_timeout  5m;
        ssl_protocols  TLSv1 TLSv1.1 TLSv1.2;
#启用TLS1.1、TLS1.2要求OpenSSL1.0.1及以上版本，若您的OpenSSL版本低于要求，请使用 ssl_protocols TLSv1;
        ssl_ciphers  HIGH:!RC4:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!EXP:+MEDIUM;
        ssl_prefer_server_ciphers   on;
        location / {
            root   html;
            index  index.html index.htm;
        }
    } 

保存退出，并重启Nginx。