谈谈国外网络干扰那些事

极致的应用体验应该是每个应用都应该追求的,竞品间的体验差距应该都是体现在细节方面,如在差网络下的视频加载速度,加载大量图片列表时的流畅度,而网络,则是这些体验的前提,如果网络不通,连数据都没有办法加载,这对于产品来说,是致命的,这很有可能导致辛辛苦苦运营积累的用户的流失。对于在海外运营的产品来说,网络问题甚是重要,海外国家的网络封锁很严重,产品总是莫名会被封锁掉,你都不知道封锁的手段是什么。查到用户封锁的手段后,你又得想应对的策略。

本文主要总结下工作中由遇到的常见的客户端网络干扰手段,并提供一些常见问题的解决思路。

目前,遇到的网络干扰(封禁)主要有以下几种手段:

  • DNS 劫持(污染);
  • 域名 封禁;
  • IP 封禁;
  • 基于深度包检测技术的封禁;

1 DNS劫持(污染)

DNS劫持(污染)是指一些刻意制造或无意中制造出来的域名服务器数据包,把域名指向不正确的IP地址(或运营商自己的IP地址),如把某应用的域名解析为:127.0.0.1的本地地址。

对应的解决办法只有自己去做 DNS的解析,基于这一点可以变化出几种策略:

  • 自建DNS解析服务器,应用内的dns解析请求都发到自己服务器去处理;
  • 应用内维持一份域名跟对应服务器IP的映射,定时更新客户端保持的域名跟IP的配置;
  • 直接通过IP访问(这基本不现实);

在具体的实践过程中,可以根据应用的特点,将这几种策略进行组合,在不同的场景下选择不同的策略,如发现服务器访问不了时,先采用配置里的Ip进行访问等等;

2 域名封禁

域名封禁是指封锁掉某个应用服务器的访问,一般是通过查看http请求头里的 host字段是否是要封禁的域名; 还有一种方式运营商把所有的域名都解析到自己的机房里,然后在自有机房去通过某种策略来决定是否让这个请求继续(我们查看的数据就是域名被解析到某运营商的网段去了,但同个域名下有的请求可能是成功的,有的请求却失败了);

应对方式:域名封禁的话,就只能通过换域名的方式来解决了;

3 IP 封禁

IP封禁是指访问某个服务器的请求没有办法正常获得响应; 不管是 HTTP(s)请求还是TCP(UDP)请求都需要有一个目标地址(IP),当运营商检测到目标地址是需要封禁时,可以直接让请求超时或者没有办法获得响应等;

应用方式:目前基本上是使用代理(中介)或者换服务器的方式来应对;
代理:
-对于HTTP请求来说,可以部署下新的nginx 服务器,把请求接收后再转发到真正的机房去处理;
-对于TCP(UDP)来说,就是网络包里的目标地址是代理服务器的地址,而真正的服务器的地址则放在body里,代理服务器在接收到包后,解析出body后,把数据包路由转发到真正的处理服务器上;

4 基于深度包检测技术的封禁

深度包检测 主要是通过检测数据包中的数据部分的特殊来匹配特定协议或某种应用的特征,然后决定是否可以路由到其他地方,深度包检测一般是针对TCP(UDP)这种,下面的讨论也是针对TCP在进行的;

由于深度包检测技术它是根据应用的数据特征来决定是否封禁,这个封禁没有绝对可行的应对处理方式,因为不同国家不同运营商可能识别出的特征是不一样的; 从应用开发者角度来说,只能是先探测出它是根据哪些识别出来的特征来封禁,探测出后则可以针对性的进行修改;

应用方式:通过各种手段将应用的特征屏蔽掉,下面举几个常用的手段:

4.1 http伪装

传统的tcp的数据包的格式是固定的,一般前面 40字节是首部,剩下的就是内容数据了,深度包检测一般是检测内容数据的,根据内容数据生成一个特征,根据这个特征来决定是否要封禁这个数据包的。而http伪装则是传统的数据包的前面再加个http的头部字段,这些字段是由应用自己根据http头的结构将http的内容填充进去的(直接将内容放到body头里也可以),由于是自己伪装出来的http头,因此可以任意填充任何的host等各种http头,运营商的深度包检测会认为为是一个传统的Http请求,而绕过它的检测系统了,

正常情况下的 tcp数据包是这样的:
+++++++++++++++++++++++++++++++++
|40字节的tcp/ip首部    |       tcp的内容      |
+++++++++++++++++++++++++++++++++
而加了Http伪装的数据包结构则是:

+++++++++++++++++++++++++++++++++++++++++++++++
|40字节的tcp/ip首部  |  伪装的http首部  |  tcp的内容             |
+++++++++++++++++++++++++++++++++++++++++++++++

http伪装可以把真正的数据放到http的body字段里,也可以把内容放在http的后面,这个可以自己根据的需要去选择组合。

而采用http伪装的缺点就是会加大你的流量消耗,因为填充了额外的数据;

4.2 加密&随机化

尽可能将自己的内容加密传输,最好是可以支持动态变换加密算法

如果有其他更多更好的方式,麻烦小伙伴分享下哈

参考

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 204,732评论 6 478
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 87,496评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 151,264评论 0 338
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,807评论 1 277
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,806评论 5 368
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,675评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,029评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,683评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 41,704评论 1 299
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,666评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,773评论 1 332
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,413评论 4 321
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,016评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,978评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,204评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,083评论 2 350
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,503评论 2 343

推荐阅读更多精彩内容