根据域名劫持大致判断W的位置
(2010-11-16 11:07:08)
标签:
域名劫持域名解析it |
分类: 网络及安全技术 |
我们在访问一个站点(无论国内国外)的时候,首先要进行域名解析。如果域名被劫持,即得不到正确的IP地址,那么谈端口/IP被封,TCP连接中 断也没有意义。
下面用实际的例子,来大致分辨W在那一跳露出害羞的小脸。
首先打开一个命令行窗口(开始->运行->cmd回车),输入nslookup,然后用server子命令把目标DNS改成 Google的public dns:
C:\> nslookup
> server 8.8.8.8
Default Server: google-public-dns-a.google.com
Address: 8.8.8.8
然后迅速的多次查询www.facebook.com
> www.facebook.com
> www.facebook.com
... ...
> www.facebook.com
会发现两个特性:
1.响应速度非常之快;
2.得到的IP不固定,或者说毫无规律可言。
这是域名被劫持后的典型特性。问题是,W是"修改"或"篡改"了查询结果吗?
下面把DNS换成8.1.1.1 - 实际上这是个国外的IP,并不是一台真正的DNS,或者说这个IP上根本没有对应的主机:
> server 8.1.1.1
再多次查询www.facebook.com:
> www.facebook.com
> www.facebook.com
... ...
> www.facebook.com
结果依旧。由此可以想象,当DNS数据到达W时,W马上返回一个随机结果---好像在和你打乒乓球一样,由于并没有完成一个正常的DNS查询过 程,且W在国内(国际出口附近),因而速度非常之快。
当用一个不存在的国外DNS(即任一国外IP)查未被劫持的域名时,当然不会返回任何结果,只显示超时。于是,我们可以用这个特性来迅速判断一个 域名是否被劫持。
下面的结果是前些时候从SH对国外某些地址进行trace route,测试在某跳后域名开始被劫持,如下:
8 6 ms 5 ms 5 ms 61.152.xy.82
9 6 ms 5 ms 5 ms 202.97.35.102 --- 该地址开始劫持
10 8 ms 6 ms 6 ms 202.97.35.22
8 5 ms 5 ms 5 ms 61.152.xy.82
9 6 ms 5 ms 5 ms 202.97.35.74 --- 该地址开始劫持
10 7 ms 6 ms 6 ms 202.97.34.98
8 8 ms 5 ms 4 ms 61.152.xy.42
9 5 ms 5 ms 4 ms 202.97.35.106 --- 该地址开始劫持
10 7 ms 6 ms 5 ms 202.97.33.190
8 6 ms 5 ms 5 ms 61.152.xy.2
9 6 ms 5 ms 5 ms 202.97.35.98 --- 该地址开始劫持
10 7 ms 6 ms 6 ms 202.97.35.26
8 6 ms 5 ms 4 ms 61.152.xy.42
9 7 ms 6 ms 5 ms 202.97.35.82 --- 该地址开始劫持
10 7 ms 7 ms 6 ms 202.97.34.98
8 5 ms 5 ms 5 ms 61.152.xy.82
9 8 ms 6 ms 6 ms 202.97.33.10
10 7 ms 7 ms 6 ms 202.97.33.50
11 186 ms 184 ms 184 ms 202.97.51.74 --- 该地址开始劫持
12 167 ms 166 ms 166 ms 202.97.50.58
8 6 ms 5 ms 5 ms 61.152.xy.58
9 8 ms 7 ms 7 ms 202.97.33.62
10 7 ms 7 ms 7 ms 202.97.33.2
11 5 ms 5 ms 5 ms 202.97.33.5 --- 该地址开始劫持
12 * * * Request timed out.
13 43 ms 42 ms 64 ms 209.85.255.80
由此判断,W的位置就在开始发生劫持的地方。不过今天测试上面这些地址,已经不能"打乒乓球"了,就是W不和你"玩"了,估计是W微调了策略,对 直接发向自己的DNS数据不做响应了。
前一篇:2010年09月13日
后一篇:我们的庆功会