HTTPS加密可以有效幫助伺服器應對DNS欺騙、DNS劫持、ARP攻擊等安全威脅。DNS是什麼？DNS如何被利用？HTTPS如何防止DNS欺騙？

DNS如何工作？

如果您想通路www.example.com，您的浏覽器需要找到該特定Web伺服器的IP位址。它首先要查詢系統的hosts檔案，這是一個文本檔案，其中包含任何域名的IP位址，這些域名被有效地“寫死”到該系統中。但是，大多數時候該網址不在系統的hosts檔案中，那您的浏覽器将詢問DNS伺服器（可能是一個在您組織網絡上的解析器，也可能是由ISP營運或由Google、OpenDNS等組織營運的外部公共解析器）。

簡而言之，如果解析器最近被要求提供該域名的IP位址，它将在其緩存中包含該資訊，并将直接提供該資訊。但是如果它沒有在緩存中（或者因為它之前從未被要求提供該資訊，或者因為資訊已“過期”并從緩存中删除），那麼它會将請求引用到根伺服器，可以告訴解析器在哪裡擷取有關.com頂級域的資訊。

然後它會詢問伺服器從哪裡擷取有關example.com的資訊，然後轉到稱為權威伺服器的伺服器上，該伺服器将為其提供example.com域中任何伺服器的IP位址（例如Web和電子郵件伺服器）。

什麼是DNS欺騙

DNS欺騙就是攻擊者冒充域名伺服器的一種欺騙行為。原理：如果可以冒充域名伺服器，然後将查詢的IP位址設為攻擊者的IP位址，這樣的話使用者上網就隻能看到攻擊者的首頁，而想要取得的example.com網站首頁了，這就是DNS欺騙的基本原理。

DNS欺騙就是利用DNS協定設計時的一個非常重要的安全缺陷。首先欺騙者向目标機器發送構造的APR應答包，ARP欺騙成功後，嗅探到對方發出的DNS請求資料包，分析資料包取得ID和端口号後，向目标發送自己構造後的一個DNS傳回包，對方收到DNS應答包，發現ID和端口号全部正确，即把傳回資料包中的額域名和對應的IP位址儲存近DNS緩存表中，而後來當真實的DNS應答包傳回時則被丢棄。

HTTPS如何防止DNS欺騙？

有效的

HTTPS證書

表示，該伺服器在獲驗證書時就已經由受信任的證書頒發機構（如：沃通CA）驗證域名所有權。為了確定攻擊者無法使用DNS欺騙将使用者引導到

http://

可以截獲流量的普通連接配接，網站可以使用HTTP嚴格傳輸安全（HSTS）來訓示浏覽器始終要求其域的HTTPS連接配接。這意味着想要成功欺騙DNS解析的攻擊者，還必須建立有效的HTTPS連接配接。這使得DNS欺騙與攻擊HTTPS一樣具有挑戰性和昂貴性。

如果攻擊者欺騙DNS但不破壞HTTPS，則使用者将從其浏覽器收到明顯的警告消息，以防止他們通路可能的惡意站點。如果該站點使用HSTS，則通路者将無法選擇忽略并單擊警告。

HTTPS和HSTS協同工作以保護域免受DNS欺騙。

攻擊HTTPS連接配接有多難？

對HTTPS連接配接的攻擊通常分為3類：

• 通過密碼分析或其他協定弱點來破壞HTTPS連接配接的品質。

• 攻破用戶端計算機，例如将惡意根證書安裝到系統或浏覽器信任庫中。

• 通常通過操縱或破壞證書頒發機構來擷取主要浏覽器信任的“流氓”證書。

這些都是可能的，但對于大多數攻擊者而言，這些攻擊都非常困難并且需要大量費用。重要的是，它們都是有針對性的攻擊，并且不能随時對任何連接配接到任何網站的使用者執行。相比之下，普通的HTTP連接配接可以被網絡連接配接中涉及的任何人輕易攔截和修改，是以攻擊可以大規模且低成本地進行。

沃通CA提供HTTPS證書，支援Windows、安卓、iOS、JDK以及Firefox、Chrome等各類浏覽器、作業系統和移動終端，為使用者與伺服器之間建立加密連接配接，保護資料傳輸安全、防止中間人攻擊的同時，幫助伺服器更有效地防止DNS欺騙等安全威脅。