dns劫持可以修改https的报文?

une

碰到个奇怪问题 访问:https://xxx.site
response如下:
HTTP/1.1 301 Moved Permanently
Date: Sat, 06 Jul 2024 22:57:33 GMT
Content-Type: text/html; charset=UTF-8
Connection: keep-alive
Keep-Alive: timeout=60
Set-Cookie: PHPSESSID=3u2ov9ehrjjr0fqq8s2blk8kk9c45j3f; path=/; HttpOnly
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: _sessionsid=OTE2YzNjMjUwYmRjYjM****NTY3ZjQwMThkNjE=; path=/; expires=Sat, 13 Jul 2024 22:57:33 GMT
Location: https://菠菜网
Server: nginx
Cache-Control: no-store
Strict-Transport-Security: max-age=31536000; includeSubdomains;
Content-Length: 5874

<!DOCTYPE html>
***这里是正常的网页内容


这是什么攻击手法，dns劫持应该修改不了https的内容，不是dns劫持又不像其他攻击？

yaren

dns是ip指向都劫持了。走什么协议不是被随意？

larry

dns都劫持了,还改不了报文?

iks

目标服务器被种马了，，，

karson

改不了网站本身的报文，但是这请求压根就没发到你网站本身吧，它直接dns解析到恶意网站的ip去了，返回的重定向应该是恶意网站发起的。
但是这种情况浏览器应该会报证书错误警告，因为恶意网站的证书跟请求的域名不符。

huifukejian

nslookup 一下， 看下dns解析

icon

除非有证书私钥等，否则只是dns劫持是不可能修改报文的
楼上一堆不懂装懂的我就不想鄙视了，你们有这修改https报文的本事，直接去高薪到CIA NSA就职吧
所以，问题就是，一是人家哪来的私钥？一是这确实是dns劫持么？

onetown

简单的解释一下， dns劫持不需要修改报文， 直接指鹿为马就行了。

yousihai

icon 发表于 2024-7-7 15:06
除非有证书私钥等，否则只是dns劫持是不可能修改报文的
楼上一堆不懂装懂的我就不想鄙视了，你们有这修改ht ...

+1
我都不知道其他人都是AI吗？要是dns能直接改https的报文而不需要私钥，为什么不直接劫持网银支付宝？

dns可以让你的https请求发往错误的ip，但除非对方拿到了真网站的证书私钥，否则你的浏览器一定会警告你证书错误或不可信。如果你是用非浏览器的其他软件访问的话（例如curl）那么默认也会报证书错误，但第三方软件可以设置忽略证书问题，这时候你确实可以看到被篡改的报文