域名劫持的一些排查思路

如何查看官方解析结果呢

官方解析直接从域名控制台查看即可。

 

步骤1 : 确认公网环境下是否有域名劫持

原理： 通过全国多个探测点为对域名dns解析，我们对比分析即可得知是否有劫持。

怎么做： 通过https://www.17ce.com/进行dns监测， 如果解析结果有127.0.0.1的结果，那基本就是遇到了域名劫持， 需要确定劫持特征， 是一个省份级别的 还是特定运营商级别。 还是全国范围的。

可以识别的场景： 域名不合规遭到举报

 

步骤2： 现场环境dig解析看看

原理： 通过本机的环境看到dns服务器的解析结果,看看是否符合预期。

怎么查看： 通过dig 命令即可

dig -t a  www.baidu.com   
dit -t aaaa www.baidu.com 

可以识别的场景： 公网获取解析没有问题，自己网络到dns异常

步骤3： 现场环境ping 域名 看看

原理：一般所说的dns解析是递归迭代环节的，本机部分还有一些流程没有在里面。ping可以看整体是否符合预期。

怎么查看

ping www.baidu.com 

可以识别的场景：

• 自己/etc/hosts文件被篡改

• /etc/nsswitch 指定的dns解析配置行不正确

• nscd配置不合理导致dns长期缓存

• ipv6问题导致固定返回一个解析结果等。

 

步骤4 ： strace 命令

原理： strace是操作系统的一个trace系统调用命令， 可以看到具体那个环节问题。

怎么使用：

strace -s 1024 ping -c 1 www.baidu.com

可以识别的场景：

• 自己/etc/hosts文件被篡改

• /etc/nsswitch 指定的dns解析配置行不正确

• nscd配置不合理导致dns长期缓存

• ipv6问题导致固定返回一个解析结果等。