「日志记录」有关部分域名DNS劫持日志记录分析插图

0x00 事件起因

几个月前发生了一件事情,我从聚名淘来的米,并没有解析,但是从全球DNS解析来看,已经被污染。当时并没有太在意,想的是备案后拉回国内应该就没有问题了。

结果,令人意想不到,备案后仍然无法解决域名劫持问题。当然域名需要DNS服务器进行名称解析,所以我只需要更改DNS服务器即可完成。结果你再怎么着,国内能用的DNS均被污染,这个污染还是断断续续的。时不时给你劫持到其他域名去,当然目标网站也是国外的非法网站。

由于我家里使用的电信网络,单独修改本地的DNS也是无济于事。目前情况依旧如此。这里留个图,给感兴趣的看看:

「日志记录」有关部分域名DNS劫持日志记录分析插图1

0x01 DNS服务器列举

为了找出未收到劫持DNS,我对常用的DNS进行了检测:

其中,阿里云、百度等公共DNS全部无效,均被污染。注意,污染是具有随机性的,这个就要看节点的解析TTL。

所以这里真的不建议各位使用这些DNS。试想一下这样的场景:

过年回家,你的亲戚让你介绍一下自己。你打开手机,准备将自己的网站、博客展示给大伙儿看,结果跳转到了奇怪的网站上去,想想都刺激。

未受污染的安全DNS

OneDns

(静态IP地址):71.131.215.228 117.50.0.88

(动态):52.80.53.83 52.80.59.89

CNNIC sDNS

210.2.4.8

DNS

123.125.81.6

这里我就测试了几个国内的,海外的甚至连 COMODO SecureDNS 在国内解析也被劫持,所以不怎么推荐,感兴趣的可以自己一个一个测试。

0x02 劫持分析

经过一整轮的分析,国内阿里云的公共DNS劫持的最多,其他最多一个,而咱们得阿里云甚至干到了4个以上:

「日志记录」有关部分域名DNS劫持日志记录分析插图2

怎么说呢,上次的bootstrap钓鱼事件也是阿里云的CDN出的事情,不愧是「X产聚集地」

主要被劫持到的IP段为:156.251.239.0/24,该IP段属于动态IP地址段,曾用于CDN服务器和IDC服务器,部分空间安全测绘并未更新数据,导致对该地址段的误判为安全。

劫持技术:未知,毕竟就连运营商(电信),国家骨干网络都被劫持了,劫持手段不得而知。

去年发现的该IP段,也许很早就有了,毕竟跳转过去的还是中文菠菜等等站点,一股子国内异味儿。

0x03 应对手段

  1. 自建「虚拟专用网络」,转发流量,或者联系运营商、管局处理。
  2. 更改上级DNS….
  3. 坦白从宽,抗拒从严

OK,就到这里,散会!