- 论坛徽章:
- 0
|
202.96.209.5好像是上海的吧.
你换一个"根"DNS服务试试.全球13个中随便哪一个.或你改成我们这里的DNS试试61.177.7.1不过可能会慢一点...下面是我找的,不知道是不是你那个的真正原因.
上海电信DNS劫持事件
??使用上海电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询的页面,此类事故在以前曾听过有类似的传言,而以前我个人并未碰到,所以并不在意,但如今我是天天被114这个破烂页面骚扰,于是也不得不仔细找找原因了。
??首先解释一下什么是DNS劫持。严格来说上海电信的这种行为不能算是DNS劫持,但似乎除了这个名词也没有更适合的词来形容这种行为了,所以就需要解释一下DNS劫持的来龙去脉,免得有人说我误导初学者。
??DNS劫持是网络安全界常见的一个名词,意思是通过某些手段取得某一目标域名的解析记录控制权,进而修改此域名的解析结果,通过此修改将对此域名的访问由原先的IP地址转入到自己指定的IP,从而实现窃取资料或者破坏原有正常服务的目的。举个例子,例如www.sohu.com原指向1.1.1.1,这个IP是sohu正常服务的服务器IP。而某黑人拿到了修改sohu.com域名解析的权利,将其解析记录修改为2.2.2.2,则修改后对于www.sohu.com的访问都会指向2.2.2.2这个IP。此黑人在2.2.2.2这个他自己所有的IP上放了一个完全仿冒的sohu主页,只是将登陆sohu邮箱的这个界面改为把客户填写的邮箱名和密码记录下来。这样普通客户访问www.sohu.com时看到的是表面为sohu主页,而实际为假冒页面的李鬼了。此时客户如果继续登陆其sohu邮箱,则其帐户就被黑人拿到了。
??回到主题—有关上海电信的DNS劫持行为。在我发现近期浏览网页出现异常的这段时间里,我注意搜索了一下关于这方面的讨论,发现上海电信的这种不道德行为确实是存在的,只是我以前恰好没有入套而已。根据我搜索来的资料,在06年下半年的时间里,上海电信实现了通过IE浏览器搜索功能来推送电信的114搜索。其具体原理是与IE本身的实现相关。简单来说,IE对于输入的网址,如果无法正常解析其域名或者输入的根本就不是域名的话,会调用它自身定义的搜索引擎来搜索这个地址。这个搜索引擎,默认是MSN(在之前是3721,但06年微软终止了与3721的合同,所以是MSN)。所以此时地址会转向http://auto.search.msn.com。上海电信为了将这部分流量导入自己的怀里,做了2种小动作:
?第一是在他们的星空XX拨号软件里,只要安装这个软件,就会修改注册表将IE的搜索引擎改为http://search.114.vnet.cn,于是这些流量被导入到114,此做法尚可忍受,因为毕竟软件是可以选择的,而修改也是可以改回来的。
?第二就是DNS劫持了,这就是公然违反网络标准以及违反互联网道德的行为了。具体细节就是在上海电信的几个DNS服务器中作手脚,将对auto.search.msn.com这个域名解析的应答篡改为他们自己的IP地址,这是很容易查出来的:
首先看由Root服务器下来的权威结果,我们用DNSStuff这个在线网站测试,URL为http://www.dnsstuff.com/tools/lo ... .msn.com&type=A,可以看到如下结果:
Response:
Domain Type Class TTL Answer
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.38
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.16
NOTE: One or more CNAMEs were encountered. auto.search.msn.com is really a134.g.akamai.net.6528acf.1.cn.akamaitech.net. [auto.search.msn.com->sea.search.msn.com->sea.search.msn.com.nsatc.net->search.msn.com.edgesuite.net->a134.g.akamai.net->a134.g.akamai.net.6528acf.1.cn.akamaitech.net]
再来看我们使用了上海热线DNS所解析出来的结果,我这里用BIND提供的dig工具来取结果:
# dig @202.96.209.5 A auto.search.msn.com
; <<>> DiG 9.2.4 <<>> @202.96.209.5 A auto.search.msn.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18248
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 4
;; QUESTION SECTION:
;auto.search.msn.com. IN A
;; ANSWER SECTION:
auto.search.msn.com. 86400 IN A 218.30.64.194
;; AUTHORITY SECTION:
auto.search.msn.com. 86400 IN NS ns-puxi.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pudong.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pd.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px2.online.sh.cn.
;; ADDITIONAL SECTION:
ns-pd.online.sh.cn. 86400 IN A 202.96.209.133
ns-px.online.sh.cn. 86400 IN A 202.96.209.5
ns-puxi.online.sh.cn. 86400 IN A 202.96.209.5
ns-pudong.online.sh.cn. 86400 IN A 202.96.209.133
;; Query time: 23 msec
;; SERVER: 202.96.209.5#53(202.96.209.5)
;; WHEN: Wed Mar 14 14:51:08 2007
;; MSG SIZE rcvd: 236
可以看到auto.search.msn.com被解析到了218.30.64.194这个IP,这显然是不对的,而本应属于微软的msn域名的NS记录竟然为5个上海热线的域名服务器,很明显猫腻就在这里了。
那我们就顺便查查218.30.64.194这个IP的所有,通过IP whois信息库,查询方法也是通过方便至极的DNSStuff,URL如下:http://www.dnsstuff.com/tools/whois.ch?ip=218.30.64.194,摘录一下结果:
WHOIS results for 218.30.64.194
Generated by www.DNSstuff.com
Location: China [City: Shenzhen, Guangdong]
ARIN says that this IP belongs to APNIC; I’m looking it up there.
% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 218.30.64.0 - 218.30.64.255
netname: CHINANET-CN
country: CN
descr: Chinavnet
descr: No.31 ,jingrong street,beijing
admin-c: CH93-AP
tech-c: CH93-AP
status: ALLOCATED NON-PORTABLE
changed: *****@chinatelecom.com.cn 20051026
mnt-by: MAINT-CHINANET
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC
很明显这个IP是中国电信的,而msn的域名就是这样被强奸到了中国电信的IP。
??以上就是06年中上海电信所做的手脚了,其实对于如此行为我个人还是可以忍受的,因为第一我不会去装什么星空XXX,即使装了我也有办法不用你的东西。第二我不用MSN的搜索,你劫持了它对我没什么影响。然而,从最近一段时间的异常来看,事情显然已经不只是这个地步了,因为我在用各种浏览器各种搜索引擎的时候都碰到了被转向了114的情况,再加上我个人工作所维护的一些邮件服务器最近发现的怪异情况,我有理由怀疑上海电信在DNS上做了更令人不齿的行为。很不幸,我只是简单测试了一下,就发现确实如此,这次的行为可谓明刀明枪的抢劫了:
C:\>ping notpresentxxxxxxxxxx.cn
Pinging notpresentxxxxxxxxxx.cn [218.83.175.154] with 32 bytes of data:
Reply from 218.83.175.154: bytes=32 time=124ms TTL=242
Reply from 218.83.175.154: bytes=32 time=122ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242
Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 122ms, Maximum = 134ms, Average = 128ms
C:\>ping dsfsdofhetfowefuwdf.com
Pinging dsfsdofhetfowefuwdf.com [218.83.175.154] with 32 bytes of data:
Reply from 218.83.175.154: bytes=32 time=126ms TTL=242
Reply from 218.83.175.154: bytes=32 time=125ms TTL=242
Reply from 218.83.175.154: bytes=32 time=116ms TTL=242
Reply from 218.83.175.154: bytes=32 time=118ms TTL=242
Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 116ms, Maximum = 126ms, Average = 121ms
C:\>ping gherogfhgnewlffefh.com
Pinging gherogfhgnewlffefh.com [218.83.175.154] with 32 bytes of data:
Reply from 218.83.175.154: bytes=32 time=674ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1007ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1002ms TTL=242
Reply from 218.83.175.154: bytes=32 time=812ms TTL=242
Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 674ms, Maximum = 1007ms, Average = 873ms
相信会用ping命令的网友们自然能看得懂这段输出的意思,简单来说,我ping了3个根本不存在的域名,本应出现找不到域名错误(hostname not found),然而这显然不存在的3个域名竟然能得到解析结果,而无一例外的指向同一个IP—-218.83.175.154。这个IP是什么我想大家应该也会非常有兴趣知道,点一下看看吧http://218.83.175.154。照样不能忘记把这个IP的whois信息拿出来作证据:http://www.dnsstuff.com/tools/whois.ch?ip=218.83.175.154,顺便贴出来:
WHOIS results for 218.83.175.154
Generated by www.DNSstuff.com
Location: China [City: Shanghai, Shandong]
ARIN says that this IP belongs to APNIC; I’m looking it up there.
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 218.78.0.0 - 218.83.255.255
netname: CHINANET-SH
descr: CHINANET Shanghai province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
mnt-routes: MAINT-CHINANET-SH
status: ALLOCATED PORTABLE
changed: **********@apnic.net 20060427
source: APNIC
person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC
person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ********@mail.online.sh.cn
nic-hdl: XI5-AP
mnt-by: MAINT-CHINANET-SH
changed: ********@mail.online.sh.cn 20010510
source: APNIC
铁证如山,看你上海电信还如何抵赖,目前我自己发现的出现问题的DNS服务器有202.96.209.5,202.96.209.6,202.96.209.133,202.96.209.134,都为上海电信ADSL的DHCP默认指派的DNS,应该还有数个服务器应该也是类似,只是我没有去求证。
做为中国最大的ISP,发布广告无可厚非,但却打着官方的旗号公然破坏互联网基础设施,公然违反互联网RFC,真可谓给国内各大企业带了个好头,再加上CNNIC的流氓行为,中国互联网还有什么前途?!我作为IT网络业界的一个普通技术人员,对此现状真的感到深深的悲哀。
现在唯一还能让我高兴起来的事情,就是似乎这个转入到114查询的关键字似乎是随机选取的,经常会出现让人哭笑不得的结果,莫非电信的技术们也开始学习玩无厘头风格了?
This entry was written by admin, posted on March 14, 2007 at 6:48 am, filed under Networking and tagged dns, hijack, Networking, shanghai. Bookmark the permalink. Follow any comments here with the RSS feed for this post. Post a comment or leave a trackback: Trackback URL.
« 增加在线RSS订阅链接
利用URL Rewrite禁止baidu mp3搜索 »
19 Comments
无厘头
Posted March 15, 2007 at 8:22 am | Permalink
在solidot上看到你的遭遇,北京网通一直就这么野蛮了,都是跳转到百度搜索。
dawnh
Posted March 15, 2007 at 10:29 am | Permalink
感谢这位,没想到我随手投递的文章竟然已经有人开始转载了,果然现在流行骂运营商,真有效XD
从你给的网站的文章看到原来去年康神就发现并处理过了,dnsmasq果然是好方案,以毒攻毒,以劫持对劫持,甚好,甚好!
无厘头
Posted March 15, 2007 at 1:16 pm | Permalink
咱这个社会,只能以毒攻毒,不然也不会是周黑一的奇虎去铲流氓软件啊,嘿嘿。
tangfl
Posted March 16, 2007 at 2:50 am | Permalink
这只是ISP提供“更为友好的出错页面”罢了。
1。ie的默认搜索引擎是可以通过软件更改的,你既然装它的软件,就没有必要对它的所作所为说三道四。
2。把msn的域名解析到它自己那里去,如果电信没有跟微软签有关协议,就是商业侵权,要抗议也该由微软来抗议。更何况,电信跟微软是有签协议的。114就是用的msn的技术。
3。对不存在的域名如何解析,拜托写这个之前先仔细看看RFC文档再说吧!
dawnh
Posted March 16, 2007 at 3:49 am | Permalink
1,我知道,并且我文章有提到这点吧,您如果没仔细看,那您也没必要对我的文章说三道四。况且软件修改搜索引擎地址并不是这里我所要查的。
2,114的搜索技术写着Powered by Windows Live,然而域名解析这里并无特殊说明。但是确实有可能不是劫持,而是微软对这个子域名作了Cname交由上海电信来管理。然而这也没有确实的证据能证明,即使可以,现在也不止是msn搜索自己的问题了,而是所有不可能被解析的域名现在都被指向了某IP。
3,经您提醒,我又去看了一遍RFC1035,确认了一下,在RCode中确实有3这个错误代码,作用如下:
3 Name Error - Meaningful only for responses from an authoritative name server, this code signifies that the domain name referenced in the query does not exist.
最后对于您所说的“更为友好的出错页面”,我理解为HTTP Code 404,而不是DNS中的domain name not found。
希望您平静地来讨论问题,我承认文中有些地方考虑的不是很完善,但我希望看到的是讨论而不是指责。
LeadFrenzy
Posted March 16, 2007 at 5:47 am | Permalink
支持你! 我前两个星期也发现上网不断转到114那个恶心网站,真想臭骂上海电信一通。明显就是强奸名意!
不知道这算不算上海电信侵害消费者利益,我们都是交钱上网的!
后来我只好改用别的DNS地址。担心某一天中国所有的DNS Server都干这种勾当。
yuesh
Posted May 26, 2007 at 10:36 pm | Permalink
我是浙江的,情况和你的差不多
任何一个不存在的网址,都被指向到了60.191.124.236
————————————————————
C:\>ping http://www.jhijuhgiuhwg.com
Pinging http://www.jhijuhgiuhwg.com [60.191.124.236] with 32 bytes of data:
Reply from 60.191.124.236: bytes=32 time=5ms TTL=244
Reply from 60.191.124.236: bytes=32 time=4ms TTL=245
Reply from 60.191.124.236: bytes=32 time=4ms TTL=245
Reply from 60.191.124.236: bytes=32 time=4ms TTL=245
Ping statistics for 60.191.124.236:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 5ms, Average = 4ms
C:\>ping sdgdgerhethtrhtrh.cn
Pinging sdgdgerhethtrhtrh.cn [60.191.124.236] with 32 bytes of data:
Reply from 60.191.124.236: bytes=32 time=14ms TTL=245
Reply from 60.191.124.236: bytes=32 time=5ms TTL=245
Reply from 60.191.124.236: bytes=32 time=4ms TTL=245
Reply from 60.191.124.236: bytes=32 time=35ms TTL=245
Ping statistics for 60.191.124.236:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 35ms, Average = 14ms
——————————————————————
再看一个这个IP是哪里的?
http://www.dnsstuff.com/tools/whois.ch?ip=60.191.124.236
——————————————————
Using 30 day old [STALE - being deleted now] cached answer (or, you
can get fresh results).
Hiding E-mail address (you can get results with the E-mail address).
% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 60.191.124.192 - 60.191.124.255
netname: ZHEJIANG-TELECOM-NET-DEP
country: CN
descr: ZheJiang Province Telecom Company Internet Business Dep.
descr:
admin-c: JT659-AP
tech-c: CH122-AP
status: ASSIGNED NON-PORTABLE
changed: ********@dcb.hz.zj.cn 20070314
mnt-by: MAINT-CN-CHINANET-ZJ-HZ
source: APNIC
role: CHINANET-ZJ Hangzhou
address: No.352 Tiyuchang Road,Hangzhou,Zhejiang.310003
country: CN
phone: 86-571-85157929
fax-no: 86-571-85102776
e-mail: *********@mail.hz.zj.cn
trouble: send spam reports to *********@mail.hz.zj.cn
trouble: and abuse reports to *********@mail.hz.zj.cn
trouble: Please include detailed information and times in UTC
admin-c: CH54-AP
tech-c: CH54-AP
nic-hdl: CH122-AP
mnt-by: MAINT-CHINANET-ZJ
changed: ******@dcb.hz.zj.cn 20031204
source: APNIC
person: Jun Tu
nic-hdl: JT659-AP
e-mail: ******@mail.hz.zj.cn
address: NO.378 Yanan Road,Hangzhou,Zhejiang.Postcode:310000
phone: 86-571-87076711
country: CN
changed: ********@dcb.hz.zj.cn 20070311
mnt-by: MAINT-CN-CHINANET-ZJ-HZ
source: APNIC
———————————————————————-
再看一下,在浏览器中输入一个不存在的网址
都打开了http://welcome1.zj.vnet.cn/url1.php?MT=sfsgsdgsdfsgsg.com
我们来看一下这个welcome1.zj.vnet.cn网址所在的IP,它指向到了
60.191.124.195
——————————————————————
C:\>ping welcome1.zj.vnet.cn
Pinging welcome1.zj.vnet.cn [60.191.124.195] with 32 bytes of data:
Reply from 60.191.124.195: bytes=32 time=4ms TTL=50
Reply from 60.191.124.195: bytes=32 time=4ms TTL=51
Reply from 60.191.124.195: bytes=32 time=4ms TTL=51
Reply from 60.191.124.195: bytes=32 time=6ms TTL=51
Ping statistics for 60.191.124.195:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 6ms, Average = 4ms
—————————————————————-
回头看一下
http://www.dnsstuff.com/tools/whois.ch?ip=60.191.124.236
inetnum: 60.191.124.192 - 60.191.124.255
netname: ZHEJIANG-TELECOM-NET-DEP
country: CN
descr: ZheJiang Province Telecom Company Internet Business Dep.
同一个单位的。
我没装什么拔号软件,是LAN
电信不知道是通过什么手段来实现的,应该就是楼主所说的DNS劫持这个意思,我
也想不出什么更好的名字,网通,铁通等上网的不知道会不会也出现类似情况
yuesh
Posted May 26, 2007 at 10:38 pm | Permalink
有没有不干这种勾当的DNS
提供几个
yuesh
Posted May 26, 2007 at 10:44 pm | Permalink
198.235.216.1
202.216.228.18
158.205.229.236
158.205.237.148
158.205.225.34
刚刚找到的DNS
Anonymous
Posted May 30, 2007 at 8:12 am | Permalink
我是浙江用户,也出现了这种情况
Anonymous
Posted June 20, 2007 at 9:39 pm | Permalink
现在我的也出现这种情况了,如何解决啊,各位大虾
Klose
Posted June 21, 2007 at 9:02 am | Permalink
我是浙江的,昨天我的网站(Aotol自动检查网页更新)也遇到了这个问题,这是一个能够自动检查网页更新的网站,原本只要用户点击收录的网站就可以看到这个网站最新的更新内容,可是昨天下午当我点击我收录的网站的时候,网页出来了一半然后就直接被强制跳转到114!
看楼主分析得很有道理,但是貌似目前浙江这里的情况比上海还要严重!楼主说的是如果那个域名不存在就会被拉到114,而我这个是一个合法的网页地址,在网页输出了一半之后被强制拖拉到114!
我很气愤,电信简直无法无天了,凭什么劫持别人网站?这个样子下去我们的网站是不是都不要活了?
vising
Posted June 24, 2007 at 1:31 am | Permalink
我在前面凌晨一点的时候输入我们学校的论坛网站就直接跳到http://search.114.vnet.cn/search ... &fm=pro&kw=标致206&imageField.x=28&imageField.y=16
每次的关键词还变
大家看这也是劫持了吧,具体的有人能告诉我怎么确定不?
谢谢,我的QQ104748542,邮箱vising@gmail.com
Anonymous
Posted July 10, 2007 at 1:55 am | Permalink
广西也一样,我几天出现一次
ste-chu
Posted July 22, 2007 at 6:15 pm | Permalink
电信\石化\电力,中国最大的红顶商人
Cloud
Posted August 21, 2007 at 1:50 pm | Permalink
再查如何让ADSL加速时看见了这篇文章 才知道原来无缘无故跳出来的114是这么一回事 还有我没装星空极限但每次拨号打开IE就跳出星空极限的主页改怎么解决 如能解决请发Email教我 谢谢
acai
Posted September 9, 2007 at 12:15 pm | Permalink
我是浙江的,现在也存在这种情况,看来流氓要有强大的支持才能名正言顺!
用自动获取的DNS有时居然连百度都变114了,唉……这个社会,无能加权力,用户却无法保护自己的权利
acai
Posted September 9, 2007 at 12:17 pm | Permalink
星空XX这种烂软件也值得用,真是邪门了,DNS我现在决不用自动获取的
ben
Posted March 21, 2008 at 9:52 am | Permalink
the same to you
2 Trackbacks
By DNS劫持之以毒攻毒--利用dnsmasq来对付ISP的DNS劫持 at Solo Estoy on June 1, 2007 at 9:54 pm
[…] 前几个月,在下穷极无聊写了篇文章《上海电信DNS劫持事件》,本意并未有向电信开炮的意思,怎料文章投递到cnbeta以后,引来无数人响应,一时间貌似全国都有人发现“劫持”,包括网通,铁通等ISP的类似行为都被曝光,甚至某些本来是由于某些低级失误造成的问题都被归于此类,自此大家又多了一条批判运营商的罪状–“劫持”。后经过各大网络媒体大肆炒作,影响甚众,果然现在还是靠骂人出名最快捷,矛头指向垄断企业才是个性,跟专家对着干才叫水平。事事如此,人人如此,也难怪网民们动不动就骂,所有业界文章,如果没有反对意见,那还真是另类了。 […]
By 氧气层眼中的世界 on October 20, 2007 at 11:52 pm
每个人都可以是评论家…
前几天,我的博客在第一时间发表了一篇文章,google搜索转到百度??那个时候我发现这个问题后,去google博客搜索寻找相关文章,没有人说这事。因此,我应该算第一时间了,哈。
到了白天… |
|
免费注册
发表于 2008-04-16 15:03
