预防DNS劫持+IP直通车优化 | 架构师之路（21）

主要观点总结

本文介绍了《架构师之路：架构设计中的100个知识点》中的第21个知识点，关于DNS劫持和IP直通车的内容。文章解释了DNS劫持的定义、原因、影响以及如何避免DNS劫持。同时介绍了IP直通车的概念、操作方法和好处，并讨论了如何保证IP直通车的高可用性。

关键观点总结

关键观点1: DNS劫持的定义和原因

DNS劫持是攻击者恶意或运营商故意篡改DNS请求响应，将流量引导到第三方业务。这种情况一般是偶发的，运营商通常会选择劫持少量流量。

关键观点2: DNS劫持的影响

DNS劫持可能导致页面返回一些无关内容，影响用户体验。

关键观点3: 避免DNS劫持的方法

从技术层面，可以使用安全扩展协议防止恶意篡改；非技术层面，可以选择靠谱的服务提供商，并监控预警、投诉运营商。但根本解决较难，因为DNS动作发生在系统不可控的外网。

关键观点4: IP直通车的概念和操作方法

IP直通车是一种避免DNS劫持的方法，其不再使用DNS，而是直接使用IP访问Nginx。操作方法是，APP端首个请求使用域名访问API获取Nginx外网IP，后续所有请求直接使用外网IP直连。

关键观点5: IP直通车的好处和高可用性保证

IP直通车的好处包括避免DNS劫持和减少DNS解析时间，提高用户体验。对于高可用性，IP直通车不影响原有的保证方式，只是将域名替换为IP。

文章预览

《架构师之路：架构设计中的100个知识点》 21.预防DNS劫持+IP直通车 为啥页面偶尔会返回一些无关页面？ 如果是偶发，大概率是被DNS劫持了。 什么是DNS劫持？ 页面第一步是DNS域名解析。 攻击者恶意，或者运营商故意，篡改DNS请求的响应，返回第三方业务的IP，就可以劫持流量到第三方 业务。 为了避免投诉，运营商一般只会劫持非常小的流量，一般不易察觉。 怎么避免DNS劫持？ 技术层面 ，可以使用安全扩展协议，防止恶意篡改； 非技术层面 ，可以使用靠谱服务提供商，监控预警并投诉运营商。 但实话实话，DNS动作发生在我们系统不可控的外网，想要根本解决比较难。 有没有好的方法？ 可以使用IP直通车。 什么是IP直通车？ 不再使用DNS，直接使用IP访问Nginx。 具体怎么操作IP直通车？ APP端 首个请求 ，使用域名访问API，获取Nginx外网IP； 后续所 ………………………………