DNS欺骗https

Question

如果设备向https://example.com发送请求，而有人伪造DNS响应以将请求重定向到某个恶意服务器。攻击者能否在TLS握手期间修改数据包以使原始请求域名匹配，从而建立连接？

Answer 1

TL;DR: No.

TLS连接需要验证服务器证书，攻击者将没有有效的example.com证书。他可以创建一个自签名证书，也可以创建一个由他拥有的CA (证书颁发机构)签名的证书。而且，除非攻击者是政府，否则不会拥有浏览器信任的有效CA，即使是，他的CA也会很快被列入黑名单。

在这两种情况下，客户端浏览器将显示“无效证书”警告，客户端必须承认这一点，并告诉浏览器无论如何加载站点。

这就是创建TLS的原因:击败像这样的MitM攻击。有了证书和可信CA列表，每个客户端都可以确定他正在与他认为正在交谈的服务器交谈，除了他和服务器之外，没有人知道正在传输什么。

TLS (以及之前的SSL )存在一些问题，使得攻击者能够知道正在传输什么或更改了什么，但这些攻击很快就会得到修补。