笑話大全ico
您當前的位置 :竞彩篮球胜分差技巧>電腦科技>IT夜話> 正文
上海電信DNS劫持事件
2007-04-20 06:44來源:廈門門戶網
【摘要】
據本人查證,上海電信在近一個月內對其所屬的DNS服務器做了某些明顯違背互聯網規范的行為,導致出現將客戶瀏覽器導向其自身所轄的114號碼百事通,此種行為非常令人不齒.使用上海電信寬帶接

據本人查證,上海電信在近一個月內對其所屬的DNS服務器做了某些明顯違背互聯網規范的行為,導致出現將客戶瀏覽器導向其自身所轄的114號碼百事通,此種行為非常令人不齒.使用上海電信寬帶接入的朋友可能最近也經常像我一樣在瀏覽網站時莫名其妙地輸入網址后轉向了114查詢的頁面,此類事故在以前曾聽過有類似的傳言,而以前我個人并未碰到,所以并不在意,但如今我是天天被114這個破爛頁面騷擾,于是也不得不仔細找找原因了.

首先解釋一下什么是DNS劫持。嚴格來說上海電信的這種行為不能算是DNS劫持,但似乎除了這個名詞也沒有更適合的詞來形容這種行為了,所以就需要解釋一下DNS劫持的來龍去脈,免得有人說我誤導初學者。
DNS劫持是網絡安全界常見的一個名詞,意思是通過某些手段取得某一目標域名的解析記錄控制權,進而修改此域名的解析結果,通過此修改將對此域名的訪問由原先的IP地址轉入到自己指定的IP,從而實現竊取資料或者破壞原有正常服務的目的。舉個例子,例如www.sohu.com原指向1.1.1.1,這個 IP是sohu正常服務的服務器IP。而某黑人拿到了修改sohu.com域名解析的權利,將其解析記錄修改為2.2.2.2,則修改后對于 www.sohu.com的訪問都會指向2.2.2.2這個IP。此黑人在2.2.2.2這個他自己所有的IP上放了一個完全仿冒的sohu主頁,只是將登陸sohu郵箱的這個界面改為把客戶填寫的郵箱名和密碼記錄下來。這樣普通客戶訪問www.sohu.com時看到的是表面為sohu主頁,而實際為假冒頁面的李鬼了。此時客戶如果繼續登陸其sohu郵箱,則其帳戶就被黑人拿到了。

軟件下載就到soft.www.obcll.tw


回到主題---有關上海電信的DNS劫持行為。在我發現近期瀏覽網頁出現異常的這段時間里,我注意搜索了一下關于這方面的討論,發現上海電信的這種不道德行為確實是存在的,只是我以前恰好沒有入套而已。根據我搜索來的資料,在06年下半年的時間里,上海電信實現了通過IE瀏覽器搜索功能來推送電信的114 搜索。其具體原理是與IE本身的實現相關。簡單來說,IE對于輸入的網址,如果無法正常解析其域名或者輸入的根本就不是域名的話,會調用它自身定義的搜索引擎來搜索這個地址。這個搜索引擎,默認是MSN(在之前是3721,但06年微軟終止了與3721的合同,所以是MSN)。所以此時地址會轉向 //auto.search.msn.com。上海電信為了將這部分流量導入自己的懷里,做了2種小動作:
•第一是在他們的星空XX撥號軟件里,只要安裝這個軟件,就會修改注冊表將IE的搜索引擎改為//search.114.vnet.cn,于是這些流量被導入到114,此做法尚可忍受,因為畢竟軟件是可以選擇的,而修改也是可以改回來的。
廈門色網xmsex.com 福建色網fjsex.com

•第二就是DNS劫持了,這就是公然違反網絡標準以及違反互聯網道德的行為了。具體細節就是在上海電信的幾個DNS服務器中作手腳,將對auto.search.msn.com這個域名解析的應答篡改為他們自己的IP地址,這是很容易查出來的:
首先看由Root服務器下來的權威結果,我們用DNSStuff這個在線網站測試,URL為//www.dnsstuff.com/,可以看到如下結果:


Response:

Domain Type Class TTL Answer
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.38
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.16

NOTE: One or more CNAMEs were encountered. auto.search.msn.com is really a134.g.akamai.net.6528acf.1.cn.akamaitech.net. [auto.search.msn.com->sea.search.msn.com->sea.search.msn.com.nsatc.net->
search.msn.com.edgesuite.net->a134.g.akamai.net-> 軟件下載就到soft.www.obcll.tw
a134.g.akamai.net.6528acf.1.cn.akamaitech.net]



再來看我們使用了上海熱線DNS所解析出來的結果,我這里用BIND提供的dig工具來取結果:


# dig @202.96.209.5 A auto.search.msn.com

; <<>> DiG 9.2.4 <<>> @202.96.209.5 A auto.search.msn.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18248
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 4

;; QUESTION SECTION:
;auto.search.msn.com. IN A

;; ANSWER SECTION:
auto.search.msn.com. 86400 IN A 218.30.64.194

;; AUTHORITY SECTION:
auto.search.msn.com. 86400 IN NS ns-puxi.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pudong.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pd.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px2.online.sh.cn.

廈門紙業xmpaper.com


;; ADDITIONAL SECTION:
ns-pd.online.sh.cn. 86400 IN A 202.96.209.133
ns-px.online.sh.cn. 86400 IN A 202.96.209.5
ns-puxi.online.sh.cn. 86400 IN A 202.96.209.5
ns-pudong.online.sh.cn. 86400 IN A 202.96.209.133

;; Query time: 23 msec
;; SERVER: 202.96.209.5#53(202.96.209.5)
;; WHEN: Wed Mar 14 14:51:08 2007
;; MSG SIZE rcvd: 236


可以看到auto.search.msn.com被解析到了218.30.64.194這個IP,這顯然是不對的,而本應屬于微軟的msn域名的NS記錄竟然為5個上海熱線的域名服務器,很明顯貓膩就在這里了。
那我們就順便查查218.30.64.194這個IP的所有,通過IP whois信息庫,查詢方法也是通過方便至極的DNSStuff,URL如下://www.dnsstuff.com/tools/whois.ch?ip=218.30.64.194,摘錄一下結果:


WHOIS results for 218.30.64.194
Generated by www.DNSstuff.com 廈門臺球xmpool.com
Location: China [City: Shenzhen, Guangdong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.


% [whois.apnic.net node-2]
% Whois data copyright terms //www.apnic.net/db/dbcopyright.html

inetnum: 218.30.64.0 - 218.30.64.255
netname: CHINANET-CN
country: CN
descr: Chinavnet
descr: No.31 ,jingrong street,beijing
admin-c: CH93-AP
tech-c: CH93-AP
status: ALLOCATED NON-PORTABLE
changed: *****@chinatelecom.com.cn 20051026
mnt-by: MAINT-CHINANET
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

軟件下載就到soft.www.obcll.tw

很明顯這個IP是中國電信的,而msn的域名就是這樣被強奸到了中國電信的IP。


以上就是06年中上海電信所做的手腳了,其實對于如此行為我個人還是可以忍受的,因為第一我不會去裝什么星空XXX,即使裝了我也有辦法不用你的東西。第二我不用MSN的搜索,你劫持了它對我沒什么影響。然而,從最近一段時間的異常來看,事情顯然已經不只是這個地步了,因為我在用各種瀏覽器各種搜索引擎的時候都碰到了被轉向了114的情況,再加上我個人工作所維護的一些郵件服務器最近發現的怪異情況,我有理由懷疑上海電信在DNS上做了更令人不齒的行為。很不幸,我只是簡單測試了一下,就發現確實如此,這次的行為可謂明刀明槍的搶劫了:

C:>ping notpresentxxxxxxxxxx.cn

Pinging notpresentxxxxxxxxxx.cn [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=124ms TTL=242
廈門門戶網www.obcll.tw xmdoor.com

Reply from 218.83.175.154: bytes=32 time=122ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 122ms, Maximum = 134ms, Average = 128ms
C:>ping dsfsdofhetfowefuwdf.com

Pinging dsfsdofhetfowefuwdf.com [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=126ms TTL=242
Reply from 218.83.175.154: bytes=32 time=125ms TTL=242
Reply from 218.83.175.154: bytes=32 time=116ms TTL=242
Reply from 218.83.175.154: bytes=32 time=118ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 116ms, Maximum = 126ms, Average = 121ms

C:>ping gherogfhgnewlffefh.com

Pinging gherogfhgnewlffefh.com [218.83.175.154] with 32 bytes of data:

網址導航就用ok118.com



Reply from 218.83.175.154: bytes=32 time=674ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1007ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1002ms TTL=242
Reply from 218.83.175.154: bytes=32 time=812ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 674ms, Maximum = 1007ms, Average = 873ms


相信會用ping命令的網友們自然能看得懂這段輸出的意思,簡單來說,我ping了3個根本不存在的域名,本應出現找不到域名錯誤(hostname not found),然而這顯然不存在的3個域名竟然能得到解析結果,而無一例外的指向同一個IP----218.83.175.154。這個IP是什么我想大家應該也會非常有興趣知道,點一下看看吧//218.83.175.154。照樣不能忘記把這個IP的whois信息拿出來作證據://www.dnsstuff.com/tools/whois.ch?ip=218.83.175.154,順便貼出來: 廈門臺球xmpool.com



WHOIS results for 218.83.175.154
Generated by www.DNSstuff.com
Location: China [City: Shanghai, Shandong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.


% [whois.apnic.net node-1]
% Whois data copyright terms //www.apnic.net/db/dbcopyright.html

inetnum: 218.78.0.0 - 218.83.255.255
netname: CHINANET-SH
descr: CHINANET Shanghai province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
mnt-routes: MAINT-CHINANET-SH
status: ALLOCATED PORTABLE
changed: **********@apnic.net 20060427
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net

搜什么,找蝦米搜索xmsou.com


address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ********@mail.online.sh.cn
nic-hdl: XI5-AP
mnt-by: MAINT-CHINANET-SH
changed: ********@mail.online.sh.cn 20010510
source: APNIC


鐵證如山,看你上海電信還如何抵賴,目前我自己發現的出現問題的DNS服務器有202.96.209.5,202.96.209.6, 202.96.209.133,202.96.209.134,都為上海電信ADSL的DHCP默認指派的DNS,應該還有數個服務器應該也是類似,只是我沒有去求證。

做為中國最大的ISP,發布廣告無可厚非,但卻打著官方的旗號公然破壞互聯網基礎設施,公然違反互聯網RFC,真可謂給國內各大企業帶了個好頭,再加上CNNIC的流氓行為,中國互聯網還有什么前途?!我作為IT網絡業界的一個普通技術人員,對此現狀真的感到深深的悲哀。
新名堂xmtang.com


現在唯一還能讓我高興起來的事情,就是似乎這個轉入到114查詢的關鍵字似乎是隨機選取的,經?;岢魷秩萌絲扌Σ壞玫慕峁?,莫非電信的技術們也開始學習玩無厘頭風格了?
軟件下載就到soft.www.obcll.tw

標簽(Tag):電信  IP  事件  這個  bytes  218.83.175.1  
官方郵箱:竞彩篮球胜分差技巧 www.obcll.tw 官方微信:www.obcll.tw 官方微博: