谈谈国外网络干扰那些事

极致的应用体验应该是每个应用都应该追求的,竞品间的体验差距应该都是体现在细节方面,如在差网络下的视频加载速度,加载大量图片列表时的流畅度,而网络,则是这些体验的前提,如果网络不通,连数据都没有办法加载,这对于产品来说,是致命的,这很有可能导致辛辛苦苦运营积累的用户的流失。对于在海外运营的产品来说,网络问题甚是重要,海外国家的网络封锁很严重,产品总是莫名会被封锁掉,你都不知道封锁的手段是什么。查到用户封锁的手段后,你又得想应对的策略。

本文主要总结下工作中由遇到的常见的客户端网络干扰手段,并提供一些常见问题的解决思路。

目前,遇到的网络干扰(封禁)主要有以下几种手段:

  • DNS 劫持(污染);
  • 域名 封禁;
  • IP 封禁;
  • 基于深度包检测技术的封禁;

1 DNS劫持(污染)

DNS劫持(污染)是指一些刻意制造或无意中制造出来的域名服务器数据包,把域名指向不正确的IP地址(或运营商自己的IP地址),如把某应用的域名解析为:127.0.0.1的本地地址。

对应的解决办法只有自己去做 DNS的解析,基于这一点可以变化出几种策略:

  • 自建DNS解析服务器,应用内的dns解析请求都发到自己服务器去处理;
  • 应用内维持一份域名跟对应服务器IP的映射,定时更新客户端保持的域名跟IP的配置;
  • 直接通过IP访问(这基本不现实);

在具体的实践过程中,可以根据应用的特点,将这几种策略进行组合,在不同的场景下选择不同的策略,如发现服务器访问不了时,先采用配置里的Ip进行访问等等;

2 域名封禁

域名封禁是指封锁掉某个应用服务器的访问,一般是通过查看http请求头里的 host字段是否是要封禁的域名; 还有一种方式运营商把所有的域名都解析到自己的机房里,然后在自有机房去通过某种策略来决定是否让这个请求继续(我们查看的数据就是域名被解析到某运营商的网段去了,但同个域名下有的请求可能是成功的,有的请求却失败了);

应对方式:域名封禁的话,就只能通过换域名的方式来解决了;

3 IP 封禁

IP封禁是指访问某个服务器的请求没有办法正常获得响应; 不管是 HTTP(s)请求还是TCP(UDP)请求都需要有一个目标地址(IP),当运营商检测到目标地址是需要封禁时,可以直接让请求超时或者没有办法获得响应等;

应用方式:目前基本上是使用代理(中介)或者换服务器的方式来应对;
代理:
-对于HTTP请求来说,可以部署下新的nginx 服务器,把请求接收后再转发到真正的机房去处理;
-对于TCP(UDP)来说,就是网络包里的目标地址是代理服务器的地址,而真正的服务器的地址则放在body里,代理服务器在接收到包后,解析出body后,把数据包路由转发到真正的处理服务器上;

4 基于深度包检测技术的封禁

深度包检测 主要是通过检测数据包中的数据部分的特殊来匹配特定协议或某种应用的特征,然后决定是否可以路由到其他地方,深度包检测一般是针对TCP(UDP)这种,下面的讨论也是针对TCP在进行的;

由于深度包检测技术它是根据应用的数据特征来决定是否封禁,这个封禁没有绝对可行的应对处理方式,因为不同国家不同运营商可能识别出的特征是不一样的; 从应用开发者角度来说,只能是先探测出它是根据哪些识别出来的特征来封禁,探测出后则可以针对性的进行修改;

应用方式:通过各种手段将应用的特征屏蔽掉,下面举几个常用的手段:

4.1 http伪装

传统的tcp的数据包的格式是固定的,一般前面 40字节是首部,剩下的就是内容数据了,深度包检测一般是检测内容数据的,根据内容数据生成一个特征,根据这个特征来决定是否要封禁这个数据包的。而http伪装则是传统的数据包的前面再加个http的头部字段,这些字段是由应用自己根据http头的结构将http的内容填充进去的(直接将内容放到body头里也可以),由于是自己伪装出来的http头,因此可以任意填充任何的host等各种http头,运营商的深度包检测会认为为是一个传统的Http请求,而绕过它的检测系统了,

正常情况下的 tcp数据包是这样的:
+++++++++++++++++++++++++++++++++
|40字节的tcp/ip首部    |       tcp的内容      |
+++++++++++++++++++++++++++++++++

而加了Http伪装的数据包结构则是:

+++++++++++++++++++++++++++++++++++++++++++++++
|40字节的tcp/ip首部  |  伪装的http首部  |  tcp的内容             |
+++++++++++++++++++++++++++++++++++++++++++++++

http伪装可以把真正的数据放到http的body字段里,也可以把内容放在http的后面,这个可以自己根据的需要去选择组合。

而采用http伪装的缺点就是会加大你的流量消耗,因为填充了额外的数据;

4.2 加密&随机化

尽可能将自己的内容加密传输,最好是可以支持动态变换加密算法

如果有其他更多更好的方式,麻烦小伙伴分享下哈。

参考

posted @ 2018-11-11 11:28 woodWu 阅读(...) 评论(...) 编辑 收藏