前天在 qq 群接到 365.com 的一位叫 fm165 的消息，問(wèn)我們 265.com 是否被人攻擊了，流量都倒流到他們那里去了，僅發(fā)現(xiàn)當(dāng)天沒(méi)多久就已經(jīng)有超過(guò)20萬(wàn)的流量過(guò)去了，

DNS解析被篡改動(dòng)機(jī)何在

    后經(jīng)確認(rèn)，除了 265.com 上網(wǎng)導(dǎo)航外，一些流量較大的網(wǎng)站也發(fā)生了此類(lèi)現(xiàn)象，比如做統(tǒng)計(jì)的 # 還有一些做廣告聯(lián)盟的網(wǎng)站。我們廈門(mén)的同事使用廈門(mén)電信的 dns 測(cè)試 265.com 達(dá)到了1/5的出錯(cuò)率。dodo 的機(jī)器上使用北京網(wǎng)通的 dns 發(fā)生過(guò) yok.com 解析錯(cuò)誤。

    此次 dns 被篡改的現(xiàn)象和可能有以下幾種情況：

    1、當(dāng) dns 解析過(guò)程中沒(méi)有緩存而連接節(jié)點(diǎn)又失敗時(shí)，返回默認(rèn) ip 地址，此類(lèi)方式多見(jiàn)于搜索引擎、網(wǎng)絡(luò)實(shí)名、通用網(wǎng)址、中文域名等合作項(xiàng)目；

    2、根據(jù)當(dāng)?shù)胤�律法�?guī)和政策，某些域名和主機(jī)被禁止訪(fǎng)問(wèn)，解析過(guò)程中則得不到真正的 ip 地址，一般是返回訪(fǎng)問(wèn)不了的偽造 ip 地址；

    3、域名運(yùn)營(yíng)商將過(guò)期但尚未進(jìn)入刪除期的域名的 dns 修改成域名停放服務(wù)或催繳費(fèi)頁(yè)面，早年 nsi 甚至將沒(méi)注冊(cè)的域名也解析到他們的網(wǎng)站，后來(lái)被抗議而停止了服務(wù)；

    4、機(jī)器被木馬或病毒入侵，篡改 dns 解析或修改 hosts 文件得到的效果，但這種和上面提到的不是一回事，也不是一個(gè)級(jí)別的；

    5、某些 入侵了電信運(yùn)營(yíng)商的路由或 dns 服務(wù)器或同一網(wǎng)段的機(jī)器，自行修改解析配置文件或篡改網(wǎng)絡(luò)數(shù)據(jù)包等行為，已經(jīng)屬于嚴(yán)重的網(wǎng)絡(luò)犯罪行為；

    6、電信運(yùn)營(yíng)商的員工私底下收錢(qián)，偷偷修改了 dns 配置，和第1種方法相似，但是影響范圍能在這么多城市，有些不符合常理，

電腦資料

    目前很難斷定在哪個(gè)環(huán)節(jié)出了問(wèn)題，第1種方法合作費(fèi)用很高，誰(shuí)會(huì)用來(lái)做損人不利已的事情？雖然說(shuō) 365 是受益者，但是 365 自己沒(méi)有此類(lèi)合作，誰(shuí)會(huì)把流量送給他們呢？也說(shuō) 365 是受害者，因?yàn)橄?265 這種流量過(guò)去后他們的服務(wù)器壓力提升上來(lái)，從另一個(gè)角度他們應(yīng)該偷著笑，為何又主動(dòng)找到我們呢？第2種方法也不吻合，因?yàn)槟欠N情況發(fā)生時(shí)，所有當(dāng)?shù)赜脩?hù)都無(wú)法訪(fǎng)問(wèn)，而不會(huì)只影響一小部分。第3種方法更不可能發(fā)生在流量這么大的 265 身上。第4種已經(jīng)證實(shí)不是，因?yàn)樵诟蓛舻臋C(jī)器或服務(wù)器上，使用 nslookup 查詢(xún)證明確是 dns 問(wèn)題而非本機(jī)問(wèn)題。第5種方法倒是能有想象空間，只是能影響廈門(mén)、上海、北京等城市，看來(lái)是一個(gè)不小的僵尸網(wǎng)絡(luò)。第6種方法也是有可能，但并不符合常理。