使用廣州電信寬帶接入的朋友可能最近也經(jīng)常像我一樣在瀏覽網(wǎng)站時(shí)莫名其妙地輸入網(wǎng)址后跳轉(zhuǎn)半天然后不知不覺在你網(wǎng)址后加一"?"問號(hào),此類事故在以前曾聽過有類似的傳言,而以前我個(gè)人并未碰到,所以并不在意,但如今我是天天被這個(gè)問號(hào)頁面騷擾,于是也不得不仔細(xì)找找原因了。
首先解釋一下什么是DNS劫持。嚴(yán)格來說廣州電信的這種行為不能算是DNS劫持,但似乎除了這個(gè)名詞也沒有更適合的詞來形容這種行為了,所以就需要解釋一下DNS劫持的來龍去脈,免得有人說我誤導(dǎo)初學(xué)者。
DNS劫持是網(wǎng)絡(luò)安全界常見的一個(gè)名詞,意思是通過某些手段取得某一目標(biāo)域名的解析記錄控制權(quán),進(jìn)而修改此域名的解析結(jié)果,通過此修改將對(duì)此域名的訪問由原先的IP地址轉(zhuǎn)入到自己指定的IP,從而實(shí)現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的。舉個(gè)例子,例如www.sohu.com原指向1.1.1.1,這個(gè)IP是sohu正常服務(wù)的服務(wù)器IP。而某黑人拿到了修改sohu.com域名解析的權(quán)利,將其解析記錄修改為2.2.2.2,則修改后對(duì)于www.sohu.com的訪問都會(huì)指向2.2.2.2這個(gè)IP。此黑人在2.2.2.2這個(gè)他自己所有的IP上放了一個(gè)完全仿冒的sohu主頁,只是將登陸sohu郵箱的這個(gè)界面改為把客戶填寫的郵箱名和密碼記錄下來。這樣普通客戶訪問www.sohu.com時(shí)看到的是表面為sohu主頁,而實(shí)際為假冒頁面的李鬼了。此時(shí)客戶如果繼續(xù)登陸其sohu郵箱,則其帳戶就被黑人拿到了。
回到主題---有關(guān)廣州電信的DNS劫持行為。在我發(fā)現(xiàn)近期瀏覽網(wǎng)頁出現(xiàn)異常的這段時(shí)間里,我注意搜索了一下關(guān)于這方面的討論,發(fā)現(xiàn)廣州電信的這種不道德行為確實(shí)是存在的,只是我以前恰好沒有入套而已。根據(jù)我搜索來的資料,在06~07年的時(shí)間里,中國(guó)電信實(shí)現(xiàn)了通過IE瀏覽器搜索功能來推送電信的114搜索。其具體原理是與IE本身的實(shí)現(xiàn)相關(guān)。簡(jiǎn)單來說,IE對(duì)于輸入的網(wǎng)址,如果無法正常解析其域名或者輸入的根本就不是域名的話,會(huì)調(diào)用它自身定義的搜索引擎來搜索這個(gè)地址。這個(gè)搜索引擎,默認(rèn)是MSN(在之前是3721,但06年微軟終止了與3721的合同,所以是MSN)。所以此時(shí)地址會(huì)轉(zhuǎn)向http://auto.search.msn.com。電信為了將這部分流量導(dǎo)入自己的懷里,做了2種小動(dòng)作:
?第一是在他們的星空XX撥號(hào)軟件里,只要安裝這個(gè)軟件,就會(huì)修改注冊(cè)表將IE的搜索引擎改為http://search.114.vnet.cn,于是這些流量被導(dǎo)入到114,此做法尚可忍受,因?yàn)楫吘管浖强梢赃x擇的,而修改也是可以改回來的。
?第二就是DNS劫持了,這就是公然違反網(wǎng)絡(luò)標(biāo)準(zhǔn)以及違反互聯(lián)網(wǎng)道德的行為了。具體細(xì)節(jié)就是在上海電信的幾個(gè)DNS服務(wù)器中作手腳,將對(duì)auto.search.msn.com這個(gè)域名解析的應(yīng)答篡改為他們自己的IP地址,這是很容易查出來的:
粵公網(wǎng)安備44011302004697
