哪一种网络技术可以截获并改变网络地址？

[bihai]

不是很清楚这个技术，所以可能描述不是很准确。具体是，有一种设备，现在它上面的代码是访问一个网址，比如是xyz.com，来取得某种信息。

现在，我们想测试对xyz.com进行修改，要发送新的信息。但是我们不想直接改xyz.com，而是想把改动放在一个公司内部服务器上。然后我想能否用一种网络技术，使得原来访问xyz.com的通信包都走到公司内部服务器那里去？测试完成后，我们就可以把修改上传到xyz.com。这样比较稳妥。

这个，用什么比较好？dns截获？还是什么别的？

[whitepaper]

Dns服务器设置一下就好了

[tekkamanz]

这不就是域名劫持吗？gfw的核心技术

[CutPaste]

不是很清楚这个技术，所以可能描述不是很准确。具体是，有一种设备，现在它上面的代码是访问一个网址，比如是xyz.com，来取得某种信息。

现在，我们想测试对xyz.com进行修改，要发送新的信息。但是我们不想直接改xyz.com，而是想把改动放在一个公司内部服务器上。然后我想能否用一种网络技术，使得原来访问xyz.com的通信包都走到公司内部服务器那里去？测试完成后，我们就可以把修改上传到xyz.com。这样比较稳妥。

这个，用什么比较好？dns截获？还是什么别的？

https://www.thesitewizard.com/sitepromo ... sues.shtml



.

[minquan]

你在所有的客户主机上都配置该网址解析到某个IP地址，由于客户主机的这个配置文件优先于向外找DNS服务器，所以一定能实现。Linux主机的这种配置文件为/etc/hosts

当然，更简便的办法是更改局域网的服务器，这样当其他主机都向它询问这个网址时，它会调出这个被篡改的IP地址，完成解析。

[bihai]

但是，但可是，可但是，我们团队有人提出了问题，就是我们的访问是https。这样的话，这个假的网站是不是必须拿到真网站的证书？那，这个假网站是有两个证书，还是只有真网站的证书？因为我们这个假网站还有别的任务，他得说自己也是xyz-test.com。

[minquan]

但是，但可是，可但是，我们团队有人提出了问题，就是我们的访问是https。这样的话，这个假的网站是不是必须拿到真网站的证书？那，这个真网站是有两个证书，还是只有真网站的证书？因为我们这个假网站还有别的任务，他得说自己也是xyz-test.com。

自己做个证书吧。可能会被浏览器报不安全，得想法给通过了。

[tmbb2010]

第一种办法：老式的proxy server, 几乎所有的数据包都要通过这个proxy server, 适合公司内部掌握，至于数据包怎么改，怎么弄，那是随心所欲。

第二种办法：如果你的机器不是在网络的核心位置（比如第一种的proxy server), 而又想让数据包经过你的机器，那么改动公司内部的DNS服务器是一个很好的办法。如果公司内部没有DNS服务器，那这个办法就不行了。

第三种办法： 前提是你的机器必须是公司网络gateway, 那么自然所有的数据包都会通过这台机器，怎么改数据包，就由你了

不是很清楚这个技术，所以可能描述不是很准确。具体是，有一种设备，现在它上面的代码是访问一个网址，比如是xyz.com，来取得某种信息。

现在，我们想测试对xyz.com进行修改，要发送新的信息。但是我们不想直接改xyz.com，而是想把改动放在一个公司内部服务器上。然后我想能否用一种网络技术，使得原来访问xyz.com的通信包都走到公司内部服务器那里去？测试完成后，我们就可以把修改上传到xyz.com。这样比较稳妥。

这个，用什么比较好？dns截获？还是什么别的？

[bihai]

第一种办法：老式的proxy server, 几乎所有的数据包都要通过这个proxy server, 适合公司内部掌握，至于数据包怎么改，怎么弄，那是随心所欲。

第二种办法：如果你的机器不是在网络的核心位置（比如第一种的proxy server), 而又想让数据包经过你的机器，那么改动公司内部的DNS服务器是一个很好的办法。如果公司内部没有DNS服务器，那这个办法就不行了。

第三种办法： 前提是你的机器必须是公司网络gateway, 那么自然所有的数据包都会通过这台机器，怎么改数据包，就由你了

都可以用，但是现在发现问题是数据包是https的，这还能用吗？

[minquan]

都可以用，但是现在发现问题是数据包是https的，这还能用吗？

自己用openssh做证书

[tmbb2010]

首先第一个，你这句话表明你不懂https的流程。如果公司内部测试用服务器进入服务流程，用户加密的数据是用你的私人秘密键加密的。不存在【这还能用吗？】这种问题

第二个，数据包包含的信息不仅仅是body, 而一般真正有用的信息是head, 你如果想要body的信息，那俺要向论坛举报你别有用心，介意删除此贴了

第三个，俺回答你的问题，仅仅是因为工程上，需要测试服务器的做法，而回答你，你千万不要有其他心思。

quote=bihai post_id=84595 time=1661444324 user_id=651]
都可以用，但是现在发现问题是数据包是https的，这还能用吗？
[/quote]

[bihai]

首先第一个，你这句话表明你不懂https的流程。如果公司内部测试用服务器进入服务流程，用户加密的数据是用你的私人秘密键加密的。不存在【这还能用吗？】这种问题

第二个，数据包包含的信息不仅仅是body, 而一般真正有用的信息是head, 你如果想要body的信息，那俺要向论坛举报你别有用心，介意删除此贴了

第三个，俺回答你的问题，仅仅是因为工程上，需要测试服务器的做法，而回答你，你千万不要有其他心思。

quote=bihai post_id=84595 time=1661444324 user_id=651]
都可以用，但是现在发现问题是数据包是https的，这还能用吗？

[/quote]

发现只是需要证书。设备是要访问xyz.com, 那么请求的包里会描述这是需要的网址，即使dns把xyz-test.com地址给了设备。然后，xyz-test.com根据请求包的内容知道它来自的设备想访问的域名是xyz.com，就提供这个证书。所以xyz-test.com需要根据请求包需要的域名动态提供证书。这个得和团队讨论，要不要做。技术上肯定可以，做的话有没有什么安全隐患。

[tmbb2010]

【所以xyz-test.com需要根据请求包需要的域名动态提供证书。】

不存在你说的这种情形，你还是对https流程不懂。或者说你根本还没搞清https究竟怎么一回事（服务器和客户之间的数据加密关系）。
xyz-test.com就只需要自己的证书就行。自己搞一个root局发一个私人证书都可以。 根本和xyz.com无关。

发现只是需要证书。设备是要访问xyz.com, 那么请求的包里会描述这是需要的网址，即使dns把xyz-test.com地址给了设备。然后，xyz-test.com根据请求包的内容知道它来自的设备想访问的域名是xyz.com，就提供这个证书。所以xyz-test.com需要根据请求包需要的域名动态提供证书。这个得和团队讨论，要不要做。技术上肯定可以，做的话有没有什么安全隐患。
[/quote]

[bihai]

【所以xyz-test.com需要根据请求包需要的域名动态提供证书。】

不存在你说的这种情形，你还是对https流程不懂。或者说你根本还没搞清https究竟怎么一回事（服务器和客户之间的数据加密关系）。
xyz-test.com就只需要自己的证书就行。自己搞一个root局发一个私人证书都可以。 根本和xyz.com无关。





发现只是需要证书。设备是要访问xyz.com, 那么请求的包里会描述这是需要的网址，即使dns把xyz-test.com地址给了设备。然后，xyz-test.com根据请求包的内容知道它来自的设备想访问的域名是xyz.com，就提供这个证书。所以xyz-test.com需要根据请求包需要的域名动态提供证书。这个得和团队讨论，要不要做。技术上肯定可以，做的话有没有什么安全隐患。

[/quote]

证书的意思是，xyz-test.com得证明自己是xyz.com，这是我的理解。同时，它也得证明他是xyz-test.com。当然，我是从用户角度理解的，我用浏览器看https的网站，点开锁的标志，就看到网站说自己是谁。我觉得这是一种个保护机制，使得即使能够dns劫持更换ip地址，仍然无法骗过浏览器，因为浏览器会发现这个假网站无法证明自己是用户要访问的。当然，这是我的猜想。

[tmbb2010]

你的理解是错误的
这也是我说你不懂https的地方，劝你再好好看看https,或者自己动手做一篇https（服务器和客户端都做），搞清楚它的流程


【quote=bihai post_id=89218 time=1661568962 user_id=651]
[/quote]

证书的意思是，xyz-test.com得证明自己是xyz.com，这是我的理解。同时，它也得证明他是xyz-test.com。当然，我是从用户角度理解的，我用浏览器看https的网站，点开锁的标志，就看到网站说自己是谁。我觉得这是一种个保护机制，使得即使能够dns劫持更换ip地址，仍然无法骗过浏览器，因为浏览器会发现这个假网站无法证明自己是用户要访问的。当然，这是我的猜想。
[/quote]

[bihai]

你的理解是错误的
这也是我说你不懂https的地方，劝你再好好看看https,或者自己动手做一篇https（服务器和客户端都做），搞清楚它的流程


【quote=bihai post_id=89218 time=1661568962 user_id=651]

证书的意思是，xyz-test.com得证明自己是xyz.com，这是我的理解。同时，它也得证明他是xyz-test.com。当然，我是从用户角度理解的，我用浏览器看https的网站，点开锁的标志，就看到网站说自己是谁。我觉得这是一种个保护机制，使得即使能够dns劫持更换ip地址，仍然无法骗过浏览器，因为浏览器会发现这个假网站无法证明自己是用户要访问的。当然，这是我的猜想。
[/quote]
[/quote]


这是我随便查的

A website needs an SSL certificate in order to keep user data secure, verify ownership of the website, prevent attackers from creating a fake version of the site, and gain user trust.

至于keep user data secure，这是肯定的，我不关心这个。

[minquan]

证书的意思是，xyz-test.com得证明自己是xyz.com，这是我的理解。同时，它也得证明他是xyz-test.com。当然，我是从用户角度理解的，我用浏览器看https的网站，点开锁的标志，就看到网站说自己是谁。我觉得这是一种个保护机制，使得即使能够dns劫持更换ip地址，仍然无法骗过浏览器，因为浏览器会发现这个假网站无法证明自己是用户要访问的。当然，这是我的猜想。

这是我随便查的

A website needs an SSL certificate in order to keep user data secure, verify ownership of the website, prevent attackers from creating a fake version of the site, and gain user trust.

至于keep user data secure，这是肯定的，我不关心这个。

是这个理儿。国内很多银行都是自己做的证书，不被IE认。然后银行有一堆教程来教怎么设置让它认。

[tmbb2010]

唉，你还是自己做一遍https再来谈你的理解，猜想根本不着调的。
俺告诉你，根本不存在【xyz-test.com得证明自己是xyz.com】，也用不着。你可能就不明白了。所以讨论的前提是你必须要懂https

证书的意思是，xyz-test.com得证明自己是xyz.com，这是我的理解。同时，它也得证明他是xyz-test.com。当然，我是从用户角度理解的，我用浏览器看https的网站，点开锁的标志，就看到网站说自己是谁。我觉得这是一种个保护机制，使得即使能够dns劫持更换ip地址，仍然无法骗过浏览器，因为浏览器会发现这个假网站无法证明自己是用户要访问的。当然，这是我的猜想。

[/quote]


这是我随便查的

A website needs an SSL certificate in order to keep user data secure, verify ownership of the website, prevent attackers from creating a fake version of the site, and gain user trust.

至于keep user data secure，这是肯定的，我不关心这个。
[/quote]

[bihai]

唉，你还是自己做一遍https再来谈你的理解，猜想根本不着调的。
俺告诉你，根本不存在【xyz-test.com得证明自己是xyz.com】，也用不着。你可能就不明白了。所以讨论的前提是你必须要懂https

没有问题吧，比如cloudfair说了，这个是免费提供的，是不是你用这些网站没注意，其实都是有的？还有下面这个说明。这个证书首先要网站自已提供一个公钥，然后送给CA去签字，浏览器方面可以判断是签字过的，证书首先是值得信任的，然后另证书里面的公钥检验网站是不是知道秘钥。那么，如果利用dns劫持了用户对boa的访问，这个假的网站如果无法提供这个证书，用户的浏览器会提示，这个不是boa。因为毕竟用户的浏览器输入的是boa.com。

What Are the Benefits of Digital Certification?
Digital certificates can be requested by individuals, organizations, and websites. To do so, they provide the information to be validated and a public key through a certificate signing request. The information is validated by a publicly trusted CA, which signs it with a key that provides a chain of trust to the certificate.

This enables the certificate to be used to prove the authenticity of a document, for client authentication, or to provide proof of a website’s credential.

[tmbb2010]

按你的理解，一个client可能要访问100000000000个网站，是不是这个client的电脑里要存储这100000000000个证书？以便于验证它访问的是否正确？

脑子有病！

没有问题吧，比如cloudfair说了，这个是免费提供的，是不是你用这些网站没注意，其实都是有的？还有下面这个说明。这个证书首先要网站自已提供一个公钥，然后送给CA去签字，浏览器方面可以判断是签字过的，证书首先是值得信任的，然后另证书里面的公钥检验网站是不是知道秘钥。那么，如果利用dns劫持了用户对boa的访问，这个假的网站如果无法提供这个证书，用户的浏览器会提示，这个不是boa。因为毕竟用户的浏览器输入的是boa.com。

What Are the Benefits of Digital Certification?
Digital certificates can be requested by individuals, organizations, and websites. To do so, they provide the information to be validated and a public key through a certificate signing request. The information is validated by a publicly trusted CA, which signs it with a key that provides a chain of trust to the certificate.

This enables the certificate to be used to prove the authenticity of a document, for client authentication, or to provide proof of a website’s credential.