IP封锁 (防火墙维护一张IP黑名单)

IP封锁是指防火墙维护一张IP黑名单,一旦发现发往黑名单中地址的请求数据包,就直接将其丢弃,这将导致源主机得不到目标主机的及时响应而引发超时,从而达到屏蔽对目标主机的访问的目的。

这里IP封锁指的是国内把国外服务器的IP加入了系统的黑名单,导致大部分地区甚至全国无法直接访问服务器。由于系统是分布式的,所以有可能出现部分地区可以访问,部分地区不能访问的情况。比如现在知名的云存储服务Dropbox的主页,就是遭到了IP封锁。

  首先我们把域名服务器设置为国外的,排除了DNS劫持的问题。之后我们诊断一下dropbox的域名是否遭到了DNS污染:

  C:\>nslookup www.dropbox.com 144.223.234.234

  DNS request timed out.

  timeout was 2 seconds.

  *** Can't find server name for address 144.223.234.234: Timed out

  Server: UnKnown

  Address: 144.223.234.234

  DNS request timed out.

  timeout was 2 seconds.

  DNS request timed out.

  timeout was 2 seconds.

  *** Request to UnKnown timed-out

   显然也没有遭到DNS污染。那么接下去我们可以在没有过滤ICMP协议的网络环境中(有些小区宽带和有些公司的内部网络过滤了ICMP协议,无法使用 tracert),我们可以在Windows命令行cmd中使用Windows自带的网络诊断工具tracert进行一下网络诊断是网站遭到了IP封锁还 是其他的故障:

  C:\>tracert -d www.dropbox.com

  Tracing route to www.dropbox.com [174.36.30.70]

  over a maximum of 30 hops:

  1 18 ms 19 ms 26 ms 58.35.240.1

  2 15 ms 20 ms 29 ms 58.35.240.1

  3 13 ms 10 ms 14 ms 124.74.20.45

  4 14 ms 14 ms 15 ms 124.74.209.137

  5 10 ms 15 ms 14 ms 61.152.86.58

  6 * * * Request timed out.

  7 * * * Request timed out.

  8 * * * Request timed out.

   ……

  我们看到,最后一个IP为61.152.86.58(不同地区的IP不一样),之后就不通了,显然在61.152.86.58附近遭到了IP封锁。那么我们打开ip138查一下61.152.86.58是谁在掌控:

  您查询的IP:61.152.86.58

  * 本站主数据:上海市 电信

  * 参考数据一:上海市 电信

  * 参考数据二:上海市 电信

  显然,问题在上海电信这里(其他地区可能是地区的本地电信),而不是dropbox服务器的问题。

posted on 2013-07-22 17:10  TrustNature  阅读(3339)  评论(0编辑  收藏  举报