如何判断域名劫持 判断W的位置

我们在访问一个站点(无论国内国外)的时候,首先要进行域名解析。如果你的SEO域名被劫持,即得不到正确的IP地址,那么谈端口/IP被封,TCP连接中 断也没有意义。

下面用实际的例子,来大致分辨W在那一跳露出害羞的小脸。

首先打开一个命令行窗口(开始->运行->cmd回车),输入nslookup,然后用server子命令把目标DNS改成 Google的public dns:

C:\> nslookup

> server 8.8.8.8

Default Server: google-public-dns-a.google.com

Address: 8.8.8.8

然后迅速的多次查询www.facebook.com

> www.facebook.com

> www.facebook.com

… …

> www.facebook.com

会发现两个特性:
1.响应速度非常之快;
2.得到的IP不固定,或者说毫无规律可言。

这是域名劫持后的典型特性。问题是,W是”修改”或”篡改”了查询结果吗?

下面把DNS换成8.1.1.1 – 实际上这是个国外的IP,并不是一台真正的DNS,或者说这个IP上根本没有对应的主机:
> server 8.1.1.1

再多次查询www.facebook.com:

> www.facebook.com

> www.facebook.com

… …

> www.facebook.com

结果依旧。由此可以想象,当DNS数据到达W时,W马上返回一个随机结果—好像在和你打乒乓球一样,由于并没有完成一个正常的DNS查询过程,且W在国内(国际出口附近),因而速度非常之快。

当用一个不存在的国外DNS(即任一国外IP)查未被劫持的域名时,当然不会返回任何结果,只显示超时。于是,我们可以用这个特性来迅速判断一个 域名是否被劫持。

下面的结果是前些时候从SH对国外某些地址进行trace route,测试在某跳后域名开始被劫持,如下:

8 6 ms 5 ms 5 ms 61.152.xy.82

9 6 ms 5 ms 5 ms 202.97.35.102 — 该地址开始劫持

10 8 ms 6 ms 6 ms 202.97.35.22

8 5 ms 5 ms 5 ms 61.152.xy.82

9 6 ms 5 ms 5 ms 202.97.35.74 — 该地址开始劫持

10 7 ms 6 ms 6 ms 202.97.34.98

8 8 ms 5 ms 4 ms 61.152.xy.42

9 5 ms 5 ms 4 ms 202.97.35.106 — 该地址开始劫持

10 7 ms 6 ms 5 ms 202.97.33.190

8 6 ms 5 ms 5 ms 61.152.xy.2

9 6 ms 5 ms 5 ms 202.97.35.98 — 该地址开始劫持

10 7 ms 6 ms 6 ms 202.97.35.26

8 6 ms 5 ms 4 ms 61.152.xy.42

9 7 ms 6 ms 5 ms 202.97.35.82 — 该地址开始劫持

10 7 ms 7 ms 6 ms 202.97.34.98

8 5 ms 5 ms 5 ms 61.152.xy.82

9 8 ms 6 ms 6 ms 202.97.33.10

10 7 ms 7 ms 6 ms 202.97.33.50

11 186 ms 184 ms 184 ms 202.97.51.74 — 该地址开始劫持

12 167 ms 166 ms 166 ms 202.97.50.58

8 6 ms 5 ms 5 ms 61.152.xy.58

9 8 ms 7 ms 7 ms 202.97.33.62

10 7 ms 7 ms 7 ms 202.97.33.2

11 5 ms 5 ms 5 ms 202.97.33.5 — 该地址开始劫持

12 * * * Request timed out.

13 43 ms 42 ms 64 ms 209.85.255.80

由此判断,W的位置就在开始发生劫持的地方。不过今天测试上面这些地址,已经不能”打乒乓球”了,就是W不和你”玩”了,估计是W微调了策略,对 直接发向自己的DNS数据不做响应了。

可以不经允许随意转载,分享:广州SEO,移动互联网营销 » 如何判断域名劫持 判断W的位置

分享的每套dede模板,整站带数据源码,wordpress模板,整站源码下载,帝国cms模板,带数据帝国cms网站,淘宝客源码,女性网站模板等源码的下载链接地址请咨询QQ索取。
赞 (0)
分享到: 更多