V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
pythonfan
V2EX  ›  程序员

域名部分流量被劫持,如何查出黑手是谁?

  •  
  •   pythonfan · 2015-05-13 11:46:28 +08:00 · 4797 次点击
    这是一个创建于 3480 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网站域名被做了302跳转(当然不是所有流量都跳转,目前还没找到规律)跳到了一个广告页,做的很隐蔽,前几天抓到过包发现被302,最近都没法重现了。。。不知道是电信运营商干的,还是域名注册商有人动了手脚,这个应该怎么查呢?

    16 条回复    2015-05-14 10:46:18 +08:00
    imn1
        1
    imn1  
       2015-05-13 12:22:24 +08:00
    1.dns劫持
    2.http劫持
    3.没有劫持网页本身,但劫持了某个插件/油猴脚本的更新url,然后偷偷放入跳转/广告脚本
    这三种情况都遇到过,具体谁做的就不说了,既然抓包了,查查 IP 就知道了

    1.选择可信的dns
    2. 1) https
    2) hosts大法,我的 hosts 杀了 3w+ “不良”域名,包括广告、流量统计、携毒、后台安装程序……等
    3) iptable reject,某些污染来源是固定 ip 的,整段屏蔽即可
    3.自查,装个插件,记录所有浏览器发出的请求
    Slienc7
        2
    Slienc7  
       2015-05-13 12:43:02 +08:00 via Android
    @imn1 先看看他到底是什么意思
    wy315700
        3
    wy315700  
       2015-05-13 12:48:57 +08:00
    @imn1
    @xgowex
    不知道楼主是他自己的网站被劫持,还是上网的时候部分网站被劫持。
    pythonfan
        4
    pythonfan  
    OP
       2015-05-13 13:15:08 +08:00
    @imn1 @xgowex @wy315700
    是我的网站被劫持了,不是个人上网的时候被劫持呢
    我自己怀疑是域名注册商那边,有人搞鬼,之前有查到,
    输入域名做了个302跳转到其他地址,但是最近又无法重现了。
    目前还不知道对方的规则怎样的,并不是每个用户都会出现跳转,
    比如100个访问,有可能有几个跳转了。。。
    Feobe
        5
    Feobe  
       2015-05-13 13:30:12 +08:00
    楼主网站看来流量很大
    lyragosa
        6
    lyragosa  
       2015-05-13 13:33:05 +08:00
    全程强制https

    这都能被搞基本上也没救了
    mgc
        7
    mgc  
       2015-05-13 14:01:37 +08:00
    互联网“新常态”
    monsabre1
        8
    monsabre1  
       2015-05-13 14:12:03 +08:00
    @pythonfan

    这种多是国内上网isp搞的

    随便找家国外vps/或者免费的空间 模拟访问下就知道了
    Slienc7
        9
    Slienc7  
       2015-05-13 19:20:41 +08:00 via Android
    @pythonfan dns服务如果用的不是注册商的,基本不可能
    pythonfan
        10
    pythonfan  
    OP
       2015-05-13 19:58:55 +08:00
    @xgowex 说到dns服务,dns的服务器是我们自己的,有三台,那应该是某一台被黑了。。。
    pythonfan
        11
    pythonfan  
    OP
       2015-05-13 20:00:27 +08:00
    @monsabre1 你是指运营商哦?
    好的,我试试看
    l12ab
        12
    l12ab  
       2015-05-13 20:20:16 +08:00
    运营商的HTTP劫持可能性比较大
    我这厂里用的,打开京东 淘宝 去哪儿等等有联盟的网站,都会跳转几次,然后回到相应的网站,最后URL变成了一长串。
    访问百度也是如此,即便百度已经全站HTTPS。
    zhaogoodluck
        13
    zhaogoodluck  
       2015-05-13 21:25:18 +08:00
    楼主可以给我一下域名,我可以帮你试着查一下。
    pythonfan
        14
    pythonfan  
    OP
       2015-05-14 00:56:28 +08:00
    @l12ab 我记得电信,网通都有抓到过跳转,如果是运营商劫持,是不是只可能针对一种有效呢?
    pythonfan
        15
    pythonfan  
    OP
       2015-05-14 00:57:56 +08:00
    @zhaogoodluck 请问这种要怎么查呢?
    zhaogoodluck
        16
    zhaogoodluck  
       2015-05-14 10:46:18 +08:00
    @pythonfan 我在某运营商工作,管理dpi数据。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1324 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 23:44 · PVG 07:44 · LAX 15:44 · JFK 18:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.