域名部分流量被劫持,如何查出黑手是谁?

2015-05-13 11:46:28 +08:00
 pythonfan

网站域名被做了302跳转(当然不是所有流量都跳转,目前还没找到规律)跳到了一个广告页,做的很隐蔽,前几天抓到过包发现被302,最近都没法重现了。。。不知道是电信运营商干的,还是域名注册商有人动了手脚,这个应该怎么查呢?

4840 次点击
所在节点    程序员
16 条回复
imn1
2015-05-13 12:22:24 +08:00
1.dns劫持
2.http劫持
3.没有劫持网页本身,但劫持了某个插件/油猴脚本的更新url,然后偷偷放入跳转/广告脚本
这三种情况都遇到过,具体谁做的就不说了,既然抓包了,查查 IP 就知道了

1.选择可信的dns
2. 1) https
2) hosts大法,我的 hosts 杀了 3w+ “不良”域名,包括广告、流量统计、携毒、后台安装程序……等
3) iptable reject,某些污染来源是固定 ip 的,整段屏蔽即可
3.自查,装个插件,记录所有浏览器发出的请求
Slienc7
2015-05-13 12:43:02 +08:00
@imn1 先看看他到底是什么意思
wy315700
2015-05-13 12:48:57 +08:00
@imn1
@xgowex
不知道楼主是他自己的网站被劫持,还是上网的时候部分网站被劫持。
pythonfan
2015-05-13 13:15:08 +08:00
@imn1 @xgowex @wy315700
是我的网站被劫持了,不是个人上网的时候被劫持呢
我自己怀疑是域名注册商那边,有人搞鬼,之前有查到,
输入域名做了个302跳转到其他地址,但是最近又无法重现了。
目前还不知道对方的规则怎样的,并不是每个用户都会出现跳转,
比如100个访问,有可能有几个跳转了。。。
Feobe
2015-05-13 13:30:12 +08:00
楼主网站看来流量很大
lyragosa
2015-05-13 13:33:05 +08:00
全程强制https

这都能被搞基本上也没救了
mgc
2015-05-13 14:01:37 +08:00
互联网“新常态”
monsabre1
2015-05-13 14:12:03 +08:00
@pythonfan

这种多是国内上网isp搞的

随便找家国外vps/或者免费的空间 模拟访问下就知道了
Slienc7
2015-05-13 19:20:41 +08:00
@pythonfan dns服务如果用的不是注册商的,基本不可能
pythonfan
2015-05-13 19:58:55 +08:00
@xgowex 说到dns服务,dns的服务器是我们自己的,有三台,那应该是某一台被黑了。。。
pythonfan
2015-05-13 20:00:27 +08:00
@monsabre1 你是指运营商哦?
好的,我试试看
l12ab
2015-05-13 20:20:16 +08:00
运营商的HTTP劫持可能性比较大
我这厂里用的,打开京东 淘宝 去哪儿等等有联盟的网站,都会跳转几次,然后回到相应的网站,最后URL变成了一长串。
访问百度也是如此,即便百度已经全站HTTPS。
zhaogoodluck
2015-05-13 21:25:18 +08:00
楼主可以给我一下域名,我可以帮你试着查一下。
pythonfan
2015-05-14 00:56:28 +08:00
@l12ab 我记得电信,网通都有抓到过跳转,如果是运营商劫持,是不是只可能针对一种有效呢?
pythonfan
2015-05-14 00:57:56 +08:00
@zhaogoodluck 请问这种要怎么查呢?
zhaogoodluck
2015-05-14 10:46:18 +08:00
@pythonfan 我在某运营商工作,管理dpi数据。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/190698

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX