DNS劫持又称域名劫持，是指在劫持的网络范围内拦截域名解析的请求，分析请求的域名，把审查范围以外的请求放行，否则返回假的IP地址或者什么都不做使请求失去响应，其效果就是对特定的网络不能访问或访问的是假网址。

域名劫持会怎样

当用户完成浏览网页时，单击“后退”按钮时会发生以下情况：

1、无法后退，点击后退时页面无反应，内容无变化。

2、后退到“假百度页面”，搜索结果出现霸屏现象。

3、回到低质量的网页，如垃圾网页和欺骗网页。

如何解决域名劫持

1、对网站进行HTTPS改造

2、重视网络安全，使用合法武器维护合法权益，对网络劫持经营者提起公诉。

3、将区域传送仅限制在授权的设备上。

4、在网络外围和DNS服务器上使用防火墙服务，将访问限制在那些DNS功能需要的端口/服务上。

5、使用事务签名对区域转移和区域更新进行数字签名。

6、推动第三方网站转换HTTPS或自检，与第三方资源提供商充分沟通，确保第三方资源用于网站统计、网站优化、广告宣传等不存在故意作弊的情况。

7、在不同的网络中运行分离的域名服务器来取得冗余性。

8、隐藏运行在服务器上的BIND版本。

9、将外部和内部域名服务器分开并使用转发器。

10、限制动态DNS更新。

11、删除运行在DNS服务器上的不必要服务，如FTP、TEL和HTTP。

DNS劫持原理

DNS（域名系统）的作用是把网络地址（域名，以一个字符串的形式）对应到真实的计算机能够识别的网络地址（IP地址），以便计算机能够进一步通信，传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。

DNS域名解析过程

1.输入网址

2.电脑发出一个DNS请求到本地DNS服务器（本地DNS服务器一般由网络接入商提供，中国移动、电信等）

3.本地服务器查询缓存记录，有则直接返回结果。没有则向DNS根服务器进行查询。（根服务器没有记录具体的域名和IP地址对应的关系）

4.告诉本地DNS服务器域服务器地址（此处为.com）

5.本地服务器向域服务器发出请求

6.域服务器告诉本地DNS服务器域名的解析服务器的地址

7.本地服务器向解析服务器发出请求

8.收到域名和IP地址的对应关系

9.本地服务器把IP地址发给用户电脑，并保存对应关系，以备下次查询

DNS，域名系统，是互联网上作为域名和IP地址相互映射的一个分布式数据库。

DNS的记录类型

域名与IP之间的对应关系，称为”记录”（record）。根据使用场景，”记录”可以分成不同的类型（type），前面已经看到了有A记录和NS记录。

常见的DNS记录类型如下：

A

地址记录（Address），返回域名指向的IP地址。

NS

域名服务器记录（Name Server），返回保存下一级域名信息的服务器地址。该记录只能设置为域名，不能设置为IP地址。

MX

邮件记录（Mail eXchange），返回接收电子邮件的服务器地址。

CNAME

规范名称记录（Canonical Name），返回另一个域名，即当前查询的域名是另一个域名的跳转，详见下文。

PTR

逆向查询记录（Pointer Record），只用于从IP地址查询域名。

一般来说，为了服务的安全可靠，至少应该有两条NS 记录，而A记录和MX记录

DNS劫持后果

大规模的DNS劫持，其结果往往是断网，因为大网站的访问量实在太大了，钓鱼网站的服务器可能会扛不住大流量的访问，瞬间就会瘫痪掉，网民看到的结果就是网页打不开。

网上购物,网上支付有可能会被恶意指向别的网站，更加加大了个人账户泄密的风险。

网站内出现恶意广告。

轻则影响网速，重则不能上网。‍

DNS劫持方法

方式一：利用DNS服务器进行DDOS攻击

正常的DNS服务器递归询问过程可能被利用成DDOS攻击。

假设攻击者已知被攻击机器IP地址，然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后，DNS服务器响应给最初用户，而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡，反复的进行如上操作，那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击，下为攻击原理。

攻击者发送控制信号给肉鸡群机器。肉鸡群机器针对这个递归DNS不断的执行这条记录的查询。本地的DNS服务器首先在它的本地表（或缓存）中进行查找”查找”www.idcbest.com”，如果找到将其返回客户端，如果没有发现，那么DNS服务器发送一个查询给根服务器，来查询”www.idcbest.com”的IP地址。

根服务器收到讯息（信息）后会回应”www.idcbest.com””顶级域（TLD)服务器的地址。然后由本地的DNS服务器联系顶级域名（TLD）服务器来确定”确定”www.idcbest.com”的IP地址。

顶级域（TLD）服务器会回应针对“www.idcbest.com”的名称的服务器地址。本地DNS服务器联系得到的”www.idcbest.com”的名称服务器来确定它的IP地址。

递归DNS获得了某域名的IP地址后，把所有信息都回复给源地址，而此时的源地址就是被攻击者的IP地址了。如果攻击者拥有着足够多的肉鸡群，那么就可以使被攻击者的网络被拖垮至发生中断。

利用DNS服务器攻击的重要挑战是，攻击者由于没直接与被攻击主机进行通讯，隐匿了自己行踪，让受害者难以追查原始的攻击来源。相对比较好的解决办法就是可取消DNS服务器中允许人人查询网址的递回（recursive)功能。

方式二：DNS缓存感染

攻击者使用DNS请求，将数据放入一个具有漏洞的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户，从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上，或者通过伪造的邮件和其他的server服务获取用户口令信息，导致客户遭遇进一步的侵害。

方式三：DNS信息劫持

原则上TCP/IP体系通过序列号等多种方式避免仿冒数据的插入，但入侵者如果通过监听客户端和DNS服务器的对话，就可以猜测服务器响应给客户端的DNS查询ID。

每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。

攻击者在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的数据包被截获，然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。这时，原始请求者就会把这个虚假的IP地址作为它所要请求的域名而进行连接，显然它被欺骗到了别处而根本连接不上自己想要连接的那个域名。

方式四：DNS重定向

攻击者如果将DNS名称查询重定向到恶意DNS服务器。那么被劫持域名的解析就完全置于攻击者的控制之下。

方式五：ARP欺骗

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过”ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。ARP欺骗通常是在用户局网中，造成用户访问域名的错误指向，但在IDC机房被入侵后，则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器，而李代桃僵，以使访问导向错误指向的情况。

方式六：本机劫持

在计算机系统被木马或流氓软件感染后可能会出现部分域名的访问异常，如访问挂马或者钓鱼站点、无法访问等情况，本机劫持有hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式，虽然并非都通过DNS环节完成，但都会造成无法按照用户意愿获得正确的地址或者内容的后果。

如何防止DNS劫持

1、互联网公司准备两个以上的域名，一旦黑客进行DNS攻击，用户还可以访问另一个域名。

2、手动修改DNS：

在地址栏中输入：http：//192.168.1.1 （如果页面不能显示可尝试输入：http：//192.168.0.1）。

填写您路由器的用户名和密码，点击“确定”。

在“DHCP服务器—DHCP”服务中，填写主DNS服务器为更可靠的114.114.114.114地址，备用DNS服务器为8.8.8.8，点击保存即可。

3、修改路由器密码：

在地址栏中输入：http：//192.168.1.1 （如果页面不能显示可尝试输入：http：//192.168.0.1）

填写您路由器的用户名和密码，路由器初始用户名为admin，密码也是admin，如果您修改过，则填写修改后的用户名和密码，点击“确定”

填写正确后，会进入路由器密码修改页面，在系统工具——修改登录口令页面即可完成修改（原用户名和口令和2中填写的一致）

历史著名DNS劫持案例

新浪：DNS服务器出现域名无法解析故障

2012年1月30日，正值春节之后的工作日，新浪网却惨遭访问故障，部分地区出现无法访问的情况，联通用户影响尤为严重。根据新浪官方声明，正是因为DNS服务器出现域名无法解析故障所致。该次故障持续时间较短，但鉴于新浪在国内的影响力，所以本次事件不得不提。

某知名CDN服务商：DNS故障致多家知名网站断线时间超一小时

2013年1月27日，某知名CDN服务商DNS故障导致不少大客户断线时间超过一小时，包括163、腾讯、凤凰网、百度、多玩、m1905、乐视网以及12306在内的知名网站在部分地区的访问受到影响。官方称是技术升级中一模块故障导致，但有消息指出，真正的原因是系统故障，因公司年会无人监控导致应急处理速度降低。

.CN域名：“遭攻击”致大面积瘫痪

2013年8月25日，.cn域名解析节点受到拒绝服务攻击，受到影响的包括新浪微博客户端及一些.cn网站。根据DNSPod的监控显示，CN的根域授权DNS全线故障，所有CN域名均无法解析。

那么HTTPDNS的本质是利用HTTP协议来完成域名解析，防止被运营商劫持，通常使用HTTPDNS的客户端域名解析会使用互联网公司的服务器，绕过运营商的本地DNS， 但是这一微小的转换，却带来了无数的收益。比如用户在客户端的域名解析请求将不会遭受到域名解析异常的困扰、能直接获取到用户IP，让用户可以访问最快的IDC节点、提供可靠的域名解析服务，可以实现自有调度逻辑与返回结果相结合，实现更精细化的流量调度，扩展性高。
全站HTTPS主要解决当前越来越严峻的网民隐私泄露问题，减少被中间人监听和会话劫持的可能。最初的HTTPS主要用在登录和交易环节。墨者安全觉得目前国内根据互联网的趋势也逐渐步入了全站HTTPS时代，不过这是一个大的工程，所以安全方面更加被重视。大型站点除了Web服务器需要支持HTTPS以外，CDN也需要支持HTTPS，可能要把网站的私钥提供给CDN服务商，这样就产生了第三方的风险存在。因此要对协议层进行加密，Flexible SSL就是对客户端浏览器到CDN间的HTTPS进行加密， HTTP协议用来回源。而Full SSL层不仅可以实现前者还可以将CDN到源站之间使用HTTPS，这个不包含校验服务端证书，而第三个层次支持全HTTPS，也会校验服务端证书的有效性。不过现阶段对于大多数站点，只做到Flexible SSL这一层，就可以缓解用户被劫持的问题，不过这个属于特定下场景。如果是金融行业的在线服务的HTTPS需要使用严格版本的SSL加密。
假如发生了网关流量被劫持，证书被替换， IDC测劫持流量的攻击行为时，在HTTPS的基础上，应用层需要再实现一次加密，客户端要先输入口令加密，然后再提交给服务端。
目前对于真正发生在IDC链路层的劫持，尽可能做到在跨IDC传输，跨安全域传输的时候使用加密通道。应用层支持全流量TLS或加密的VPN点对点连接。

dns 解析过程

DNS domain name system 主机名和域名转换为IP地址的工作
①用户主机上运行着DNS的客户端，就是我们的PC机或者手机客户端运行着DNS客户端了
②浏览器将接收到的url中抽取出域名字段，就是访问的主机名,
并将这个主机名传送给DNS应用的客户端
③DNS客户机端向DNS服务器端发送一份查询报文（UDP最少发两个包而UTP最少发9个包 三次握手
四次挥手），报文中包含着要访问的主机名字段（中间包括一些列缓存查询以及分布式DNS集群的工作）
④该DNS客户机最终会收到一份回答报文，其中包含有该主机名对应的IP地址
⑤一旦该浏览器收到来自DNS的IP地址，就可以向该IP地址定位的HTTP服务器发起TCP连接
DNS 采用分布式集群的工作方式
根DNS服务器，顶级DNS服务器，权威DNS服务器。
跟就是一个点. 默认省略点（为什么域名根服务器只能有13台）
顶级服务 com org edu
权威服务器 amazon.com
二级域 google.com
子域 www.google.com
主机或资源名称 h1.www.google.com
[ 主机名 ].[ 二级域名 ].[ 顶级域名 ]
DNS 服务器的功能：
权威 DNS，自身具备解析能力
转发 DNS
缓存 DNS

DNS 查询的过程如下图所示
1、在浏览器中输入www.qq.com 域名，检查自己本地的hosts文件是否有这个网址映射关系
2、如果没，则查找本地DNS解析器缓存
3、如果都没有，首先会找TCP/ip参数中设置的首选DNS服务器，也叫本地DNS服务器，向本地DNS服务器发起DNS查询请求，如果有，具有权威性。
4、如果没有，但该服务器有缓存，此解析不具有权威性。
5、若以上都失效，若未设置转发，本地DNS就把请求发至13台根DNS，根DNS服务器会判断这个域名(.com)是谁来授权管理，并会返回负责该顶级域名服务器的IP。如果该IP未能完成解析，他会找下一级DNS服务器地址给本地DNS服务器，直至找到www.qq.com主机。
6、若是转发就请求到上上级，最后都是把结果返回给本地DNS服务器，由此DNS服务器再返回给客户机。
从客户端到本地DNS服务器是属于递归查询，而DNS服务器之间就是的交互查询就是迭代查询。

七大网络协议
image
https

1、对称密码算法：是指加密和解密使用相同的密钥，典型的有DES、RC5、IDEA（分组加密），RC4（序列加密）；
2、非对称密码算法：又称为公钥加密算法，是指加密和解密使用不同的密钥（公开的公钥用于加密，私有的私钥用于解密）。比如A发送，B接收，A想确保消息只有B看到，需要B生成一对公私钥，并拿到B的公钥。于是A用这个公钥加密消息，B收到密文后用自己的与之匹配的私钥解密即可。反过来也可以用私钥加密公钥解密。也就是说对于给定的公钥有且只有与之匹配的私钥可以解密，对于给定的私钥，有且只有与之匹配的公钥可以解密。典型的算法有RSA，DSA，DH；
3、散列算法：散列变换是指把文件内容通过某种公开的算法，变成固定长度的值（散列值），这个过程可以使用密钥也可以不使用。这种散列变换是不可逆的，也就是说不能从散列值变成原文。因此，散列变换通常用于验证原文是否被篡改。典型的算法有：MD5，SHA，Base64，CRC等。
SSL的加密过程
需要注意的是非对称加解密算法的效率要比对称解密要低的多。
所以SSL在握手过程中使用非对称密码算法来协商密钥，实际使用对称解密的方法对http内容加密传输。
假设A与B通信，A是SSL客户端，B是SSL服务器端

A：我想和你安全的通话，我这里的对称加密算法有DES,RC5,密钥交换算法有RSA和DH，摘要算法有MD5和SHA。
B：我们用DES－RSA－SHA这对组合好了。这是我的证书，里面有我的名字和公钥，你拿去验证一下我的身份
A：验证真实，我生成了一份秘密消息，并用你的公钥加密了，给你
B：用自己的私钥解密，加密发送

https的缺点

虽然说HTTPS有很大的优势，但其相对来说，还是有些不足之处的，具体来说，有以下2点：
1、SEO方面
据ACM CoNEXT数据显示，使用HTTPS协议会使页面的加载时间延长近50%，增加10%到20%的耗电，此外，HTTPS协议还会影响缓存，增加数据开销和功耗，甚至已有安全措施也会受到影响也会因此而受到影响。
而且HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。
最关键的，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。
2、经济方面
（1）、SSL证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。
（2）、SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPv4资源不可能支撑这个消耗（SSL有扩展可以部分解决这个问题，但是比较麻烦，而且要求浏览器、操作系统支持，Windows XP就不支持这个扩展，考虑到XP的装机量，这个特性几乎没用）。
（3）、HTTPS连接缓存不如HTTP高效，大流量网站如非必要也不会采用，流量成本太高。
（4）、HTTPS连接服务器端资源占用高很多，支持访客稍多的网站需要投入更大的成本，如果全部采用HTTPS，基于大部分计算资源闲置的假设的VPS的平均成本会上去。
（5）、HTTPS协议握手阶段比较费时，对网站的相应速度有负面影响，如非必要，没有理由牺牲用户体验。

HTTPS和HTTP的区别主要如下：
1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。
2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

cdn

CDN主要功能是在不同的地点缓存内容，通过负载均衡技术，就近访问，加速用户对网站的访问。
解析服务器获得CNAME 域名
对获取的CNAME域名，进行解析得到缓存服务器IP地址
在 CDN DNS 中将 abc.qiniudns.com 与 110.110.110.110, 220.220.220.220, 330.330.330.330 三个 IP 映射，这些IP可以轮流着被解析。
就可以实现通过 CDN 给域名abc.qiniudns.com加速
https劫持只能防止http劫持

DNS劫持 可以选择cdn
https真的安全吗？

尽管工作在TLS/SSL层之上的HTTP协议（HTTPS）中传输的消息通过上述机制进行了加密，
但工作在TLS/SSL层之下的部分则是不受保护的，例如你所访问的网站域名和IP地址等。换句话说，
如果有人窃听你和某网站之间的通信，即便他不知道你和网站之间会话的具体内容，但完全可以知
道你访问的是哪个网站。如果要对这些信息也进行保护，则需要同时使用工作在底层的安全传输协
议，例如IPSec，很多VPN的实现就是建立在IPSec基础之上的。

CSRF

CSRF攻击是黑客借助受害者的 cookie 骗取服务器的信任，但是黑客>并不能拿到
cookie，也看不到 cookie的内容。另外，对于服务器返回的结果，由>于浏览
器同源策略的限制，黑客也无法进行解析。因此，黑客无法从返回的结果中
得到任何东西，他所能做的就是给服务器发送请求，以执行请求中所描述的
命令，在服务器端直接改变数据的值，而非窃取服务器中的数据。所以，我
们要保护的对象是那些可以直接产生数据改变的服务，而对于读取数据的服
务，则不需要进行 CSRF 的保护。比如银行系统中转账的请求会直接改变账户的金额，会遭到 CSRF
攻击，需要保护。而查询余额是对金额的读取操作，不会改变数据，CSRF
攻击无法解析服务器返回的结果，无需保护。

当前防御 CSRF 的几种策略
验证 HTTP Referer 字段
在请求地址中添加 token 并验证
要抵御 CSRF，关键在于在请求中放入黑客所不能伪造的信息，
并且该信息不存在于 cookie 之中。可以在 HTTP 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token
，如果请求中没有 token 或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。
3.在 HTTP 头中自定义属性并验证 局限性很大
http DNS

DNS基于UDP协议
HTTPDNS基于HTTP协议
HTTPDNS使用HTTP协议进行域名解析，代替现有基于UDP的DNS协议
防劫持
精准调度
0ms解析延迟

流量劫持：
早已见怪不怪的电信运营商的劫持，频繁的广告页弹出，大家只要能忍受得了，那就没什么危害，各大运营商毕竟是活在我党的英明领导下的，太过分的事情，它们也是不敢做的，最多也就是运营商之间的互掐，我等小民，只不过是受到一点儿波及，还不会危害到普通互联网用户的核心利益。
而且，真的，如果仅仅是被运营商劫持，那还是算是比较幸运的了，因为它们最起码还告诉你了，“嗨，我劫持了你的流量，在你的页面上放了几个小广告哈！”。嗯，这么无耻，不过用户也在想，“罢了，已经被现实生活按在地上摩擦这么久了，在网络上这已经算是温柔的了，老子不看就是了。” 但是，如果你被那些神不知鬼不觉的黑客们劫持了，那你最后连自己怎么被卖的都不知道，甚至还在还在替卖家数钱。

1.1 DNS劫持
DNS劫持就是通过劫持了DNS服务器，通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的。

1.2 HTTP劫持
HTTP劫持是在使用者与其目的网络服务所建立的专用数据通道中，监视特定数据信息，提示当满足设定的条件时，就会在正常的数据流中插入精心设计的网络数据报文，目的是让用户端程序解释“错误”的数据，并以弹出新窗口的形式在使用者界面展示宣传性广告或者直接显示某网站的内容。

1.2 区分劫持类型
DNS劫持

DNS劫持：倾向于持续性，访问被劫持的网站时，会不停的出现其恶意广告。DNS劫持多倾向展示广告（网页出现错误后跳转某些网页，如带有运营商名号的114，189等网页），恶意插入产品的推广，如针对特定设备的推广，apple设备的app推广。

HTTP劫持

HTTP的劫持：出现的频率多变，针对不同的ip也会不同(断网之后再连接，也许劫持就暂时消失），一定程度会造成错误的假象，用户可能会忽视该问题，由于其劫持过程非常快，只是经过某个IP后就快速的跳转，用户如果不注意地址栏的变化，根本不会注意到该问题的出现。其常见的现象为针对大流量网站的加小尾巴行为。

劫持判断
一般情况下，可以通过检测TTL的变化或HTML元素检查来判定

HTTPS劫持
https本来就是预防劫持的，但是也有个别的情况。

伪造证书，通过病毒或者其他方式将伪造证书的根证书安装在用户系统中。
代理也有客户的证书与私钥，或者客户端与代理认证的时候不校验合法性，即可通过代理来与我们服务端进行数据交互。

什么是HTTPS劫持？
HTTPS通过加密传输数据来保护浏览器和网站之间的安全交互，从而防止ISP和政府对传输进行读取和篡改。服务器通过提供由证书颁发机构（CA）进行数字签名的证书来验证自己身份，而证书颁发机构就是被浏览器信任、能担保网站身份的一个实体。例如，facebook.com会提供一个由DigiCert签名的证书给浏览器，而DigiCert则是一个被信任并且内置在几乎所有浏览器中的证书颁发机构。通过验证提供的证书并且确认证书是由浏览器所信任的证书颁发机构（DigiCert）所签发，浏览器就可以确信是在和真正的facebook.com进行交互。facebook.com提供的证书同时也包含一个用来保护接下来浏览器和Facebook之间通信的公钥。

在HTTPS劫持攻击（“中间人攻击”的一种类型）中，网络中的攻击者会伪装成一个网站（例如facebook.com），并且提供带有攻击者公钥的假证书。通常，攻击者无法让任何合法的CA来对一个不受攻击者控制的域名的证书进行签名，因此浏览器会检测并阻止这种攻击行为。但是，如果攻击者可以说服用户安装一个新CA的根证书到浏览器当中，浏览器就会信任攻击者提供的由这个合法CA签发的假证书。通过这些假证书，攻击者可以模仿任何网站，进而可以篡改网站内容、记录用户在网站上的操作或发表的内容等。因此，用户不应该安装根CA证书，因为这样就会将原本安全的通信暴露无遗，导致通信被劫持或篡改而不被用户所感知。