预防DS劫持+IP直通车优化

预防DS劫持+IP直通车优化

《架构师之路：架构设计中的100个知识点》 21.预防DS劫持+IP直通车

为啥页面偶尔会返回一些无关页面？

如果是偶发，大概率是被DS劫持了。

什么是DS劫持？

页面第一步是DS域名解析。攻击者恶意，或者运营商故意，篡改DS请求的响应，返回第三方业务的IP，就可以劫持流量到第三方业务。

为了避免投诉，运营商一般只会劫持非常小的流量，一般不易察觉。

怎么避免DS劫持？

技术层面，可以使用安全扩展协议，防止恶意篡改；非技术层面，可以使用靠谱服务提供商，监控预警并投诉运营商。

但实话实话，DS动作发生在我们系统不可控的外网，想要根本解决比较难。

有没有好的方法？

可以使用IP直通车。

什么是IP直通车？

不再使用DS，直接使用IP访问ginx。

具体怎么操作IP直通车？

APP端首个请求，使用域名访问API，获取ginx外网IP；后续所有请求，直接使用外网IP直连。

IP直通车有什么好处？

其一，避免了DS劫持；

其二，每个网络请求少了一次DS解析，节省了时间，在移动时代，用户体验优化明显，APP应用强力推荐。

IP直通车能保证高可用吗？

不影响高可用。原来怎么保证高可用，还是怎么保证高可用，只有域名与IP的差异。

原来ginx怎么保证高可用？

常见方案是：keepalived+虚IP，即影子主模式。

关于三种高可用架构模式，影子主模式，多活模式，热备模式，参见文末短视频内容。

知其然，知其所以然。

思路比结论更重要。

补充阅读材料：

《关于DS劫持》

1. 什么是DS劫持+攻击原理；

2. DS劫持类型+探测方法；

. DS劫持，DS欺骗，DS缓存投毒的异同；

4. DS劫持防范方法；

文章不长，10分钟搞定。