扩大
缩小

域名劫持的一些排查思路

如何查看官方解析结果呢

官方解析直接从域名控制台查看即可。
 

步骤1 : 确认公网环境下是否有域名劫持

原理: 通过全国多个探测点为对域名dns解析,我们对比分析即可得知是否有劫持。
怎么做: 通过https://www.17ce.com/进行dns监测, 如果解析结果有127.0.0.1的结果,那基本就是遇到了域名劫持, 需要确定劫持特征, 是一个省份级别的 还是特定运营商级别。 还是全国范围的。
可以识别的场景: 域名不合规遭到举报
 

步骤2: 现场环境dig解析看看

原理: 通过本机的环境看到dns服务器的解析结果,看看是否符合预期。
怎么查看: 通过dig 命令即可
dig -t a  www.baidu.com   
dit -t aaaa www.baidu.com 
可以识别的场景: 公网获取解析没有问题,自己网络到dns异常

步骤3: 现场环境ping 域名 看看

原理:一般所说的dns解析是递归迭代环节的,本机部分还有一些流程没有在里面。ping可以看整体是否符合预期。
怎么查看
ping www.baidu.com 
可以识别的场景:
  • 自己/etc/hosts文件被篡改
  • /etc/nsswitch 指定的dns解析配置行不正确
  • nscd配置不合理导致dns长期缓存
  • ipv6问题导致固定返回一个解析结果等。
 

步骤4 : strace 命令

原理: strace是操作系统的一个trace系统调用命令, 可以看到具体那个环节问题。
怎么使用:
strace -s 1024 ping -c 1 www.baidu.com
可以识别的场景:
  • 自己/etc/hosts文件被篡改
  • /etc/nsswitch 指定的dns解析配置行不正确
  • nscd配置不合理导致dns长期缓存
  • ipv6问题导致固定返回一个解析结果等。

posted on 2022-05-08 19:38  LinuxPanda  阅读(721)  评论(0编辑  收藏  举报

导航