加载中…
个人资料
  • 博客等级:
  • 博客积分:
  • 博客访问:
  • 关注人气:
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
正文 字体大小:

根据域名劫持大致判断W的位置

(2010-11-16 11:07:08)
标签:

域名劫持

域名解析

it

分类: 网络及安全技术
                                     作者:张阔
 
我们在访问一个站点(无论国内国外)的时候,首先要进行域名解析。如果域名被劫持,即得不到正确的IP地址,那么谈端口/IP被封,TCP连接中 断也没有意义。
 
下面用实际的例子,来大致分辨W在那一跳露出害羞的小脸。
 
首先打开一个命令行窗口(开始->运行->cmd回车),输入nslookup,然后用server子命令把目标DNS改成 Google的public dns:
 
C:\> nslookup
server 8.8.8.8
Default Server: google-public-dns-a.google.com
Address: 8.8.8.8
 
然后迅速的多次查询www.facebook.com
www.facebook.com
www.facebook.com
... ...
www.facebook.com
 
会发现两个特性:
1.响应速度非常之快;
2.得到的IP不固定,或者说毫无规律可言。
 
这是域名被劫持后的典型特性。问题是,W是"修改"或"篡改"了查询结果吗?
 
下面把DNS换成8.1.1.1 实际上这是个国外的IP,并不是一台真正的DNS,或者说这个IP上根本没有对应的主机:
server 8.1.1.1
 
再多次查询www.facebook.com:
www.facebook.com
www.facebook.com
... ...
www.facebook.com
 
结果依旧。由此可以想象,当DNS数据到达W时,W马上返回一个随机结果---好像在和你打乒乓球一样,由于并没有完成一个正常的DNS查询过 程,且W在国内(国际出口附近),因而速度非常之快。
 
当用一个不存在的国外DNS(即任一国外IP)查未被劫持的域名时,当然不会返回任何结果,只显示超时。于是,我们可以用这个特性来迅速判断一个 域名是否被劫持。
 
下面的结果是前些时候从SH对国外某些地址进行trace route,测试在某跳后域名开始被劫持,如下:
 
ms ms ms 61.152.xy.82
ms ms ms 202.97.35.102 --- 该地址开始劫持
10 ms ms ms 202.97.35.22
 
ms ms ms 61.152.xy.82
ms ms ms 202.97.35.74 --- 该地址开始劫持
10 ms ms ms 202.97.34.98
 
ms ms ms 61.152.xy.42
ms ms ms 202.97.35.106 --- 该地址开始劫持
10 ms ms ms 202.97.33.190
 
ms ms ms 61.152.xy.2
ms ms ms 202.97.35.98 --- 该地址开始劫持
10 ms ms ms 202.97.35.26
 
ms ms ms 61.152.xy.42
ms ms ms 202.97.35.82 --- 该地址开始劫持
10 ms ms ms 202.97.34.98
 
ms ms ms 61.152.xy.82
ms ms ms 202.97.33.10
10 ms ms ms 202.97.33.50
11 186 ms 184 ms 184 ms 202.97.51.74 --- 该地址开始劫持
12 167 ms 166 ms 166 ms 202.97.50.58
 
ms ms ms 61.152.xy.58
ms ms ms 202.97.33.62
10 ms ms ms 202.97.33.2
11 ms ms ms 202.97.33.5 --- 该地址开始劫持
12 Request timed out.
13 43 ms 42 ms 64 ms 209.85.255.80
 
由此判断,W的位置就在开始发生劫持的地方。不过今天测试上面这些地址,已经不能"打乒乓球"了,就是W不和你"玩"了,估计是W微调了策略,对 直接发向自己的DNS数据不做响应了。

0

阅读 收藏 喜欢 打印举报/Report
前一篇:2010年09月13日
后一篇:我们的庆功会
  

新浪BLOG意见反馈留言板 欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 产品答疑

新浪公司 版权所有