四川电信 DNS http劫持何时休?

  据查证,四川电信在近一个月内对其所属的DNS服务器做了某些明显违背互联网规范的行为,导致出现将客户浏览器导向其自身所辖的114号码百事通,此种行为非常令人不齿.使用成都电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询的页面,此类事故在以前曾听过有类似的传言,而以前我个人并未碰到,所以并不在意,但如今我是天天被114这个破烂页面骚扰,于是也不得不仔细找找原因了

 四川电信DNS劫持投放广告的一个页面:http://61.139.8.100/google.htm,(61.139.8.100是四川电信默认的DNS ),并且恶意劫持腾讯的news.qq.com等域名,我想腾讯不会在其网站上投放google的广告吧!

在你访问网络的时候,他们给你的请求站做嵌入式框架的,这样直接的后果就是,出现飘忽广告,并且不能使用网页刷新!

被嵌入式框架网站源代码如下:

以下为引用的内容:
<HTML><frameset border='0' frameSpacing='0' rows='0,100%' frameBorder='0'>
<frame id ='frm123' name='frm123' src='http://220.167.29.103:9123/ndatin.aspx?param=ABdXNlcm5hbWU9bmNwYTg5NDA2ODMmcG9saWN5aWQ9Mw==&ref=1'><frame id ='frmOLD' name='frmOLD' src='http://www.live30.cn/default.asp?'></frameset></HTML>

 首先解释一下什么是DNS劫持。严格来说成都电信的这种行为不能算是DNS劫持,但似乎除了这个名词也没有更适合的词来形容这种行为了,所以就需要解释一下DNS劫持的来龙去脉,免得有人说我误导初学者。

  DNS 劫持是网络安全界常见的一个名词,意思是通过某些手段取得某一目标域名的解析记录控制权,进而修改此域名的解析结果,通过此修改将对此域名的访问由原先的 IP地址转入到自己指定的IP,从而实现窃取资料或者破坏原有正常服务的目的。举个例子,例如 www.sohu.com 原指向1.1.1.1,这个 IP是sohu正常服务的服务器IP。而某黑人拿到了修改 sohu.com 域名解析的权利,将其解析记录修改为2.2.2.2,则修改后对于 www.sohu.com 的访问都会指向2.2.2.2这个IP。此黑人在2.2.2.2这个他自己所有的IP上放了一个完全仿冒的sohu主页,只是将登陆sohu邮箱的这个界面改为把客户填写的邮箱名和密码记录下来。这样普通客户访问 www.sohu.com 时看到的是表面为sohu主页,而实际为假冒页面的李鬼了。此时客户如果继续登陆其sohu邮箱,则其帐户就被黑人拿到了。

  回到主题---有关成都电信的DNS劫持行为。在我发现近期浏览网页出现异常的这段时间里,我注意搜索了一下关于这方面的讨论,发现成都电信的这种不道德行为确实是存在的,只是我以前恰好没有入套而已。根据我搜索来的资料,在06年下半年的时间里,成都电信实现了通过IE浏览器搜索功能来推送电信的114 搜索。其具体原理是与IE本身的实现相关。简单来说,IE对于输入的网址,如果无法正常解析其域名或者输入的根本就不是域名的话,会调用它自身定义的搜索引擎来搜索这个地址。这个搜索引擎,默认是MSN(在之前是3721,但06年微软终止了与3721的合同,所以是MSN)。所以此时地址会转向 http://auto.search.msn.com。成都电信为了将这部分流量导入自己的怀里,做了2种小动作:
  第一是在他们的星空XX拨号软件里,只要安装这个软件,就会修改注册表将IE的搜索引擎改为 http://search.114.vnet.cn ,于是这些流量被导入到114,此做法尚可忍受,因为毕竟软件是可以选择的,而修改也是可以改回来的。
  第二就是DNS劫持了,这就是公然违反网络标准以及违反互联网道德的行为了。具体细节就是在成都电信的几个DNS服务器中作手脚,将对auto.search.msn.com这个域名解析的应答篡改为他们自己的IP地址,这是很容易查出来的:
首先看由Root服务器下来的权威结果,我们用DNSStuff这个在线网站测试,URL为 http://www.dnsstuff.com/tools/lookup.ch?name=auto.search.msn.com&amp;amp;amp;amp;type=A ,可以看到如下结果:

CODE:
Response:

Domain Type Class TTL Answer a134.g.akamai.net. A IN 20 64.21.49.61 a134.g.akamai.net. A IN 20 64.21.49.69

NOTE: One or more CNAMEs were encountered.  auto.search.msn.com is really a134.g.akamai.net. [auto.search.msn.com-&amp;amp;gt;sea.search.msn.com-&amp;amp;gt;sea.search.msn.com.nsatc.net-&amp;amp;gt;search.msn.com.edgesuite.net-&amp;amp;gt;a134.g.akamai.net]

There is no need to refresh the page -- to see the DNS traversal, to make sure that all DNS servers are reporting
the same results, you can Click Here.

Note that these results are obtained in real-time, meaning that these are not cached results.
These results are what DNS resolvers all over the world will see right now (unless they have cached information).

再来看我们使用了上海热线DNS所解析出来的结果,我这里用BIND提供的dig工具来取结果:

CODE:
# dig @202.96.209.5 A auto.search.msn.com

; &amp;amp;lt;&amp;amp;lt;&amp;amp;gt;&amp;amp;gt; DiG 9.2.4 &amp;amp;lt;&amp;amp;lt;&amp;amp;gt;&amp;amp;gt; @202.96.209.5 A auto.search.msn.com
;; global options: printcmd
;; Got answer:
;; -&amp;amp;gt;&amp;amp;gt;HEADER&amp;amp;lt;&amp;amp;lt;- opcode: QUERY, status: NOERROR, id: 18248
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 4

;; QUESTION SECTION:
;auto.search.msn.com. IN A

;; ANSWER SECTION:
auto.search.msn.com. 86400 IN A 218.30.64.194

;; AUTHORITY SECTION:
auto.search.msn.com. 86400 IN NS ns-puxi.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pudong.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pd.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px2.online.sh.cn.

;; ADDITIONAL SECTION:
ns-pd.online.sh.cn. 86400 IN A 202.96.209.133
ns-px.online.sh.cn. 86400 IN A 202.96.209.5
ns-puxi.online.sh.cn. 86400 IN A 202.96.209.5
ns-pudong.online.sh.cn. 86400 IN A 202.96.209.133

;; Query time: 23 msec
;; SERVER: 202.96.209.5#53(202.96.209.5)
;; WHEN: Wed Mar 14 14:51:08 2007
;; MSG SIZE rcvd: 236

  可以看到auto.search.msn.com被解析到了218.30.64.194这个IP,这显然是不对的,而本应属于微软的msn域名的NS记录竟然为5个电信的域名服务器,很明显猫腻就在这里了。
那我们就顺便查查218.30.64.194这个IP的所有,通过IP whois信息库,查询方法也是通过方便至极的DNSStuff,URL如下: http://www.dnsstuff.com/tools/whois.ch?ip=218.30.64.194 ,摘录一下结果:

CODE:
WHOIS results for 218.30.64.194
Generated by www.DNSstuff.com
Location: China [City: Shenzhen, Guangdong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.30.64.0 - 218.30.64.255
netname: CHINANET-CN
country: CN
descr: Chinavnet
descr: No.31 ,jingrong street,beijing
admin-c: CH93-AP
tech-c: CH93-AP
status: ALLOCATED NON-PORTABLE
changed: *****@chinatelecom.com.cn 20051026
mnt-by: MAINT-CHINANET
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

  很明显这个IP是中国电信的,而msn的域名就是这样被强奸到了中国电信的IP。

  以上就是07中四川电信所做的手脚了,其实对于如此行为我个人还是可以忍受的,因为第一我不会去装什么星空XXX,即使装了我也有办法不用你的东西。第二我不用MSN的搜索,你劫持了它对我没什么影响。然而,从最近一段时间的异常来看,事情显然已经不只是这个地步了,因为我在用各种浏览器各种搜索引擎的时候都碰到了被转向了114的情况,再加上我个人工作所维护的一些邮件服务器最近发现的怪异情况,我有理由怀疑四川电信在DNS上做了更令人不齿的行为。很不幸,我只是简单测试了一下,就发现确实如此,这次的行为可谓明刀明枪的抢劫了:

CODE:
C:&amp;amp;gt;ping notpresentxxxxxxxxxx.cn

Pinging notpresentxxxxxxxxxx.cn [61.139.8.100] with 32 bytes of data:

Reply from 61.139.8.100: bytes=32 time=124ms TTL=242
Reply from 61.139.8.100: bytes=32 time=122ms TTL=242
Reply from 61.139.8.100: bytes=32 time=134ms TTL=242
Reply from 61.139.8.100: bytes=32 time=134ms TTL=242

Ping statistics for 61.139.8.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 122ms, Maximum = 134ms, Average = 128ms
C:&amp;amp;gt;ping dsfsdofhetfowefuwdf.com

Pinging dsfsdofhetfowefuwdf.com [61.139.8.100] with 32 bytes of data:

Reply from 61.139.8.100: bytes=32 time=126ms TTL=242
Reply from 61.139.8.100: bytes=32 time=125ms TTL=242
Reply from 61.139.8.100: bytes=32 time=116ms TTL=242
Reply from 61.139.8.100: bytes=32 time=118ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 116ms, Maximum = 126ms, Average = 121ms

C:&amp;amp;gt;ping gherogfhgnewlffefh.com

Pinging gherogfhgnewlffefh.com [61.139.8.100] with 32 bytes of data:

Reply from 61.139.8.100: bytes=32 time=674ms TTL=242
Reply from 61.139.8.100: bytes=32 time=1007ms TTL=242
Reply from 61.139.8.100: bytes=32 time=1002ms TTL=242
Reply from 61.139.8.100: bytes=32 time=812ms TTL=242

Ping statistics for 61.139.8.100:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 674ms, Maximum = 1007ms, Average = 873ms

  相信会用ping命令的网友们自然能看得懂这段输出的意思,简单来说,我ping了3个根本不存在的域名,本应出现找不到域名错误(hostname not found),然而这显然不存在的3个域名竟然能得到解析结果,而无一例外的指向同一个IP----61.139.8.100。这个IP是什么我想大家应该也会非常有兴趣知道,点一下看看吧http://61.139.8.100。照样不能忘记把这个IP的whois信息拿出来作证据: http://www.dnsstuff.com/tools/whois.ch?ip=61.139.8.100 ,顺便贴出来:

CODE:
Using 15 day old cached answer (or, you can get fresh results).
Hiding E-mail address (you can get results with the E-mail address).

% [whois.apnic.net node-2]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      61.139.0.0 - 61.139.127.255
netname:      CHINANET-SC
descr:        CHINANET Sichuan province network
descr:        Data Communication Division
descr:        China Telecom
country:      CN
admin-c:      CH93-AP
tech-c:      XS16-AP
mnt-by:      MAINT-CHINANET
mnt-lower:    MAINT-CHINANET-SC
status:      ALLOCATED NON-PORTABLE
changed:      **********@ns.chinanet.cn.net 20000601
changed:      **********@apnic.net 20040927
changed:      **********@apnic.net 20041126
source:      APNIC

person:      Chinanet Hostmaster
nic-hdl:      CH93-AP
e-mail:      *********@ns.chinanet.cn.net
address:      No.31 ,jingrong street,beijing
address:      100032
phone:        +86-10-58501724
fax-no:      +86-10-58501724
country:      CN
changed:      *****@chinatelecom.com.cn 20051212
mnt-by:      MAINT-CHINANET
source:      APNIC

person:      Xiaodong Shi
nic-hdl:      XS16-AP
e-mail:      *******@my-public.sc.cninfo.net
address:      No.72,Wen Miao Qian Str.
address:      Data Communication Bureau Of Sichuan Province
address:      Chengdu
address:      PR China
phone:        +86-28-6190785
fax-no:      +86-28-6190641
country:      CN
changed:      *******@my-public.sc.cninfo.net 20030317
mnt-by:      MAINT-CHINANET-SC
source:      APNIC

  铁证如山,看你四川电信还如何抵赖,目前我自己发现的出现问题的DNS服务器有61.139.2.69,202.98.96.68,都为四川电信ADSL的DHCP默认指派的DNS,应该还有数个服务器应该也是类似,只是我没有去求证。

  做为中国最大的ISP,发布广告无可厚非,但却打着官方的旗号公然破坏互联网基础设施,公然违反互联网RFC,真可谓给国内各大企业带了个好头,再加上CNNIC的流氓行为,中国互联网还有什么前途?!我作为IT网络业界的一个普通技术人员,对此现状真的感到深深的悲哀。

  现在唯一还能让我高兴起来的事情,就是似乎这个转入到114查询的关键字似乎是随机选取的,经常会出现让人哭笑不得的结果,莫非电信的技术们也开始学习玩无厘头风格了?

  强行的将DNS地址灌输给用户是违法internet的访问规则的!有心人可以看到,61.139.8.100这个解析出来的地址就是114的什么搜索站点.上面不泛也有部分美女图片之类的。

  其次,我要说的是四川电信强加到ADSL用户上的推广告行为。每当第一次打开网页时,就会弹出互联星空VNET.CN的广告
要间接引导用户去访问收费性内容!实在的可恶,并恶意流氓软件还流氓

  最后,四川电信在ADSL+光千专线访问的用户上强行加载推送型的飘浮广告条。 长条型的,白底红字,在屏幕上到处乱飘,实在恶虐!!!有时候这个广告条恰好档住了用户防护的视线,叫用户非点它不可! 还是引用上面老兄的一句话:做为中国最大的ISP,发布广告无可厚非,但却打着官方的旗号公然破坏互联网基础设施,公然违反互联网RFC,真可谓给国内各大企业带了个好头,再加上CNNIC的流氓行为,中国互联网还有什么前途?!我作为IT网络业界的一个普通技术人员,对此现状真的感到深深的悲哀。

  记得以前提过强加的绿色上网推送,哎,电信屡次给用户带来打击,别把用户当傻瓜,相信外部的技术人员,总有比电信强的!!不是考虑到电信的网络稍微稳定点,我早退了ADSL了。我相信,维护电信网络稳定的同志们,跟推行这些垃圾市场策略的绝对不是一个层次的人,也不知道维护网络稳定的同志的听到用户说这些话的时候,会不会悲哀!

时间: 2024-09-14 13:08:45

四川电信 DNS http劫持何时休?的相关文章

电信DNS劫持导致百度使用异常

中介交易 SEO诊断 淘宝客 云主机 技术大厅 我仅是中国电信的一个普普通通的宽带用户,最近发现一种奇特的现象: 在浏览器输入百度网址,打开百度首页,有时候直接跳转到另一个"首页",网址带尾巴/index.php?tn=92032023_5_pg 刚开始什么都不懂,以为是电脑中毒了,使用小红伞和360杀毒扫了一遍,没发现什么问题.然后,我就不管了,继续使用. 但是最近几天跳转太频繁,严重影响我的使用--每次输入关键词搜索,都会丢掉关键词跳到百度首页,然后又要重新输入!比如我搜索&quo

百度沦陷 DNS域名劫持问题再次凸现(多图)

[51CTO.com独家特稿]继Twitter之后baidu又被"伊朗网络部队"攻陷, 经过国内某著名安全公司项目经理python分析,此次攻击为DNS域名劫持,与此前对Twitter的攻击是一个类型的.目前尚不知骇客作案动机,但反映出目前各大站点的DNS服务器安全解析问题还并不尽如人意.2010年1月12日早上7点左右,百度出现访问异常的情况,域名baidu.com的WHOIS信息也是不正确的结果.经确认,目前Baidu.com的域名解析服务器被更换,域名被解析到一个荷兰的IP地址,

Mac DNS被劫持怎么办?

  最近小编就有收到朋友的消息说自己的网页经常会自动跳转到某些广告页面,打开比如PC6下载站和虾米音乐这些个网页,就会自动跳转到一个新的网页,已经在偏好设置里的选择了阻止弹出式窗口等各种设置还是不能解决.这种情况应该就是DNS被劫持了,小编通过网络收集整理了Mac电脑DNS被劫持的解决办法下面分享给大家. 1.首先,我们点击打开系统偏好设置 2.选择你上网的方式 , 点击右下的高级 3.点击 DNS 选项卡, 点击左下角的加号 增加如下两个dns: 199.91.73.222 178.79.13

百度跳转谷歌事件是由于福建电信DNS解析地址错误造成

福建福州.厦门.泉州等各地区网友在浏览器中输入百度域名"www.baidu.com",出现的却是谷歌的首页 今日(8月23日)是传统七夕佳节,据传牛郎织女一年中只有这一天才能于鹊桥相会.今天连两大搜索引擎百度和谷歌都凑热闹前往福建进行"联姻". 20点30分左右,福建福州.厦门.泉州等各地区网友在浏览器中输入百度域名"www.baidu.com",出现的却是谷歌的首页,除了首页遭篡改以外,百度新闻.贴吧等其他页面均无异常,在经历的一个小时的异常以

四川电信庆祝“天翼一周年”

作者 宋跃 本报讯 12月28日,四川电信在成都高调庆祝"天翼一周年". 四川电信作为3G的运营商,运营一年来在四川取得了骄人的业绩.一是天翼3G网络全面覆盖了四川144个县,四川电信基站数量也从此前的 4000个增加至1万个以上,在乡镇的覆盖率达到95.4%以上,在高速公路的覆盖率达99.17%.在城市内四川电信利用WiFi优势,与天翼3G互为补充,对宾馆酒店.写字楼.机场等场所实现了完美的无缝覆盖,成为四川覆盖最广的3G网络.二是手机终端最多,目前天翼已经拥有数10个品牌.500多

四川电信正式推出20M电信宽带业务

比起一般家庭用1M.2M宽带,你是否觉得太慢了?是否觉得下一步电影等待的太久?是否觉得打网游太卡?如果你还在为网速的问题烦恼,那么告诉你一个好消息:电信宽带再次提速了!记者近日从四川电信获悉,从今起,中国电信在四川境内针对家庭用户正式推出"20M电信宽带"业务.中国电信作为国内互联网行业的引领者,又一次刷新了四川家庭宽带上网的新速度.如果用20M的电信宽带下载音乐和电影,时间完全是以秒来计算,真正实现"秒杀". 据了解,截至目前,四川省内电信宽带用户早已经突破百万,

中国四川电信宽带余额查询方式有哪些?怎么查?

问题描述 之前一直都是打电话查询宽带的使用情况,想了一下,除了电话对宽带余额进行查询外,还有其他哪些方法呢?听朋友说,四川电信出来了一个叫宽宽通的软件,那个软件有什么功能呢? 解决方案 百度已经回答了,请参考http://zhidao.baidu.com/question/648239953181190565.htm

四川电信推3G新套餐:全国主叫0.15元/分钟

□国内长话.市话.漫游主叫一分钟只要一毛五,接听电话一律免费 □各种新款天翼3G智能手机集中上市,售价低至599元 □预存话费可以0元拿手机 天翼3G乐享卡全国主叫一律0.15元/分钟 适逢年末,通讯市场进入运营商维系老用户.争抢新用户的关键时候.此时,各运营商酝酿已久的优惠措施集中释放,由此引爆通信市场的资费大战.今年,随着3G的普及,运营商的资费大战更加白热化.日前,凭借在3G市场取得的不俗成绩,四川电信率先打响了2011年春节营销大战的第一枪.华西都市报记者获悉,12月,四川电信猛然甩出多

Mac DNS被劫持怎么办

  1.首先,我们点击打开系统偏好设置   2.选择你上网的方式 , 点击右下的高级   3.点击 DNS 选项卡, 点击左下角的加号 增加如下两个dns: 199.91.73.222 178.79.131.110   4.点击好, 点击应用,完成设置,再试试看,DNS劫持就解除了.