使用廣州電信寬帶接入的朋友可能最近也經(jīng)常像我一樣在瀏覽網(wǎng)站時莫名其妙地輸入網(wǎng)址后跳轉(zhuǎn)半天然后不知不覺在你網(wǎng)址后加一"?"問號���,此類事故在以前曾聽過有類似的傳言,而以前我個人并未碰到�����,所以并不在意�,但如今我是天天被這個問號頁面騷擾��,于是也不得不仔細找找原因了。
首先解釋一下什么是DNS劫持���。嚴(yán)格來說廣州電信的這種行為不能算是DNS劫持���,但似乎除了這個名詞也沒有更適合的詞來形容這種行為了,所以就需要解釋一下DNS劫持的來龍去脈�����,免得有人說我誤導(dǎo)初學(xué)者�。
DNS劫持是網(wǎng)絡(luò)安全界常見的一個名詞,意思是通過某些手段取得某一目標(biāo)域名的解析記錄控制權(quán)�����,進而修改此域名的解析結(jié)果�,通過此修改將對此域名的訪問由原先的IP地址轉(zhuǎn)入到自己指定的IP,從而實現(xiàn)竊取資料或者破壞原有正常服務(wù)的目的�����。舉個例子����,例如www.sohu.com原指向1.1.1.1����,這個IP是sohu正常服務(wù)的服務(wù)器IP���。而某黑人拿到了修改sohu.com域名解析的權(quán)利����,將其解析記錄修改為2.2.2.2�����,則修改后對于www.sohu.com的訪問都會指向2.2.2.2這個IP����。此黑人在2.2.2.2這個他自己所有的IP上放了一個完全仿冒的sohu主頁,只是將登陸sohu郵箱的這個界面改為把客戶填寫的郵箱名和密碼記錄下來���。這樣普通客戶訪問www.sohu.com時看到的是表面為sohu主頁���,而實際為假冒頁面的李鬼了。此時客戶如果繼續(xù)登陸其sohu郵箱�,則其帳戶就被黑人拿到了。
回到主題---有關(guān)廣州電信的DNS劫持行為�����。在我發(fā)現(xiàn)近期瀏覽網(wǎng)頁出現(xiàn)異常的這段時間里����,我注意搜索了一下關(guān)于這方面的討論,發(fā)現(xiàn)廣州電信的這種不道德行為確實是存在的�����,只是我以前恰好沒有入套而已��。根據(jù)我搜索來的資料��,在06~07年的時間里�����,中國電信實現(xiàn)了通過IE瀏覽器搜索功能來推送電信的114搜索�����。其具體原理是與IE本身的實現(xiàn)相關(guān)�。簡單來說,IE對于輸入的網(wǎng)址,如果無法正常解析其域名或者輸入的根本就不是域名的話�,會調(diào)用它自身定義的搜索引擎來搜索這個地址。這個搜索引擎�����,默認是MSN(在之前是3721�,但06年微軟終止了與3721的合同,所以是MSN)��。所以此時地址會轉(zhuǎn)向http://auto.search.msn.com��。電信為了將這部分流量導(dǎo)入自己的懷里��,做了2種小動作:
?第一是在他們的星空XX撥號軟件里��,只要安裝這個軟件����,就會修改注冊表將IE的搜索引擎改為http://search.114.vnet.cn,于是這些流量被導(dǎo)入到114�����,此做法尚可忍受����,因為畢竟軟件是可以選擇的����,而修改也是可以改回來的����。
?第二就是DNS劫持了����,這就是公然違反網(wǎng)絡(luò)標(biāo)準(zhǔn)以及違反互聯(lián)網(wǎng)道德的行為了。具體細節(jié)就是在上海電信的幾個DNS服務(wù)器中作手腳����,將對auto.search.msn.com這個域名解析的應(yīng)答篡改為他們自己的IP地址,這是很容易查出來的:
粵公網(wǎng)安備44011302004697
