域名劫持的一些排查思路
如何查看官方解析结果呢
官方解析直接从域名控制台查看即可。
步骤1 : 确认公网环境下是否有域名劫持
原理: 通过全国多个探测点为对域名dns解析,我们对比分析即可得知是否有劫持。
怎么做: 通过https://www.17ce.com/进行dns监测, 如果解析结果有127.0.0.1的结果,那基本就是遇到了域名劫持, 需要确定劫持特征, 是一个省份级别的 还是特定运营商级别。 还是全国范围的。
可以识别的场景: 域名不合规遭到举报
步骤2: 现场环境dig解析看看
原理: 通过本机的环境看到dns服务器的解析结果,看看是否符合预期。
怎么查看: 通过dig 命令即可
dig -t a www.baidu.com
dit -t aaaa www.baidu.com
可以识别的场景: 公网获取解析没有问题,自己网络到dns异常
步骤3: 现场环境ping 域名 看看
原理:一般所说的dns解析是递归迭代环节的,本机部分还有一些流程没有在里面。ping可以看整体是否符合预期。
怎么查看
ping www.baidu.com
可以识别的场景:
- 自己/etc/hosts文件被篡改
- /etc/nsswitch 指定的dns解析配置行不正确
- nscd配置不合理导致dns长期缓存
- ipv6问题导致固定返回一个解析结果等。
步骤4 : strace 命令
原理: strace是操作系统的一个trace系统调用命令, 可以看到具体那个环节问题。
怎么使用:
strace -s 1024 ping -c 1 www.baidu.com
可以识别的场景:
- 自己/etc/hosts文件被篡改
- /etc/nsswitch 指定的dns解析配置行不正确
- nscd配置不合理导致dns长期缓存
- ipv6问题导致固定返回一个解析结果等。
posted on 2022-05-08 19:38 LinuxPanda 阅读(711) 评论(0) 编辑 收藏 举报