清除dns缓存命令行_怎么防止移动dns劫持,防止移动dns劫持要先了解什么是dns劫持...

本人以网络技术出身,近两年接触CDN网络,处理了一些CDN方面的网络问题,大多数以运营商丢包,延迟抖动为主,也处理一些硬件故障,比如机械硬盘的读写io测试,内存条兼容性测试,服务器IPMI规划等。这篇文章打算把自己对运营商对资源请求的劫持写下来,这个其实不是很罕见的事例,也不是网上找不到解决办法,也不是无法理解的尖钻技术,只是罗列一下自己的所知。


CDN网络访问拓扑

既然提到了CDN网络,那就顺带提一句吧。

这回可以开始废话了吧?:大体的工作逻辑有用户的访问、localdns的解析、CDN资源调度、资源应答。

如果按照这种方式去运营CDN,估计CDN行业早就倒闭了,先不说资源调度的好坏,如果有恶意的攻击流量,整个CDN系统就直接可以GG思密达了。

IIS7网站监控工具可以做到提前预防各类网站劫持,并且是免费在线查询,通过查询知道域名是否健康等等。

它可以做到24小时定时监控:

2、网站是否被劫持

3、域名是否被墙

4、DNS是否被污染

5、独家检测网站真实的完全打开时间

检测地址:IIS7网站检测

f3b8a1f31043cba38f57a10c4cecf7a9.png

所以我这里也只是为了阐述运营商劫持行为,简单的说明了一下CDN网络,读者千万不要认为CDN如此的简单,CDN需要更多更强大的调度系统、数据监控系统、nginx、lvs等系统技术(我也就知道这些了)。高端的CDN厂商还有自建专线、自建IDC、甚至用到了ISP的骨干策略MPLS-TE。这些都是不可小觑的技术,详细的CDN知识我就不卖弄了,毕竟我只是做网络的,对系统部分还很薄弱,喜欢了解的读者可以阅读《CDN技术详解》来增长对CDN的见解。

运营商劫持概述

劫持的目的

其实目的很简单,关于运营商劫持,一般运营商也不是无故做劫持,毕竟他们维护服务器,维护相应设备(比如分光器、分流器)也需要成本,运营商主要劫持出省流量,对于“小”运营商来说他们有省内流量考核,跨省访问会增加成本输出,集团控制出省流量,所以劫持往往发生在省间传输上。其次所有运营商都可能会做劫持,目的是减少省骨干网络链路的负载压力,尽可能的减少中继链路、远距离骨干链路,负载能力弱的链路上的流量,则会出现劫持的现象。

劫持的方法

运营商/或者小区宽带会有分光器设备,因此可以把用户请求流量进行映射,从而获取用户请求响应,即可达到用户需要什么,然后再根据抢先建立HTTP连接,优先传给用户数据,这样真正提供资源的服务器返回来的数据就自然的被丢弃掉了。

劫持的演变

劫持的逻辑,慢慢的转化为了目前的CDN厂商在做的事,当然CDN厂商的流量调度主要是为了解决客户资源的分布式访问,避免用户访问资源时长时间等待。我也是在接触CDN网络以后,才慢慢接触到了运营商劫持,运营商主要的劫持动作还是修改访问资源的ip,也就是域名302了。

劫持类别

劫持大可分为三类:

– DNS解析劫持

– 域名302劫持

– NATip劫持

关于DNS劫持

DNS劫持也可以理解为用户的请求去往了错误的DNS服务器进行查询解析,返回来的目的主机IP自然不是我们想要达到的资源服务器主机,这往往发生在用户请求的第一步,目前在鹏博士网内遇见的比较常见。

长宽资源经常出现被劫持和转发错误的现象。解决办法如下:

1、把转发列表写到named.conf文件里,更新我们的转发ip

2、然后编写策略针对我们要去的域名从BGP出口出去,防止NAT。

http://x.x.x.x.com,(绑定hosts: http://xxxx.xxxx.com )

zone "http://cdnxx.com" {

type forward;

forward first;

forwarders { x.x.x.x;x.x.x.x;x.x.x.x};

};

zone "http://cdnxx.com" {

type forward;

forward first;

forwarders { x.x.x.x;x.x.x.x;x.x.x.x };

};

场景1:

DNS服务器为本地运营商的DNSip,但是解析到的目标cache是其他省市的ip。

原因是转发或者nat没有做好,没有转发到我们指定的DNS服务器上进行解析,或者从nat口出去,改变了长宽的源地址。

场景2:

DNS服务器为本地运营商的DNSip,但是解析到的目标cache是本省市的ip。

原因是本地运营商有cache缓存,相当于小型的CDN节点服务器(浏览器的cookie),要把我们需要的域名添加到缓存黑名单里,不进行本地缓存。

场景3:

DNS服务器为本地运营商的DNSip,但是解析出来的ip,有时候是正确的,有时候是其他运营商的。

原因是该地市有多个cache服务器,需要在缓存服务器里把所有的转发ip和域名都做好缓存黑名单。

运营商解决时需要添加的列表:

ixcache缓存设备 panabit(流控)把不做缓存的域名加入到名单里。

场景4:

DNS解析有时候成功有时候失败。

原因是长宽本地会有缓存服务器,之上有一个缓存控制器,如果我们的解析被缓存服务器命中,就会本地直接返回结果,所以要在控制器上做策略,禁止调用到缓存。

其实我在排版的时候一直在纠结,我这个图应该放在这部分的前面还是后面,左右了半天还是决定贴在后面吧,这样不会冲乱DNS forward的配置。

关于域名劫持HTTP302

HTTP302即为:访问的资源暂时性转移,得到新的资源位置,然后重新访问获取资源。

这其实就是典型的CDN运营架构了,CDN的资源调度就是这么去做的。假如北京的用户需要访问某个网站,CDN公司得到网站方的授权后,就会把直接访问的URL做CNAME跳转到CDN调度服务器上,接下来根据区域localdns的识别将北京的用户请求,调度到就近的节点进行服务。

那么,CDN可以利用HTTP302进行调度,那么运营商“更”可以这么做了,这里说的“可以”中心意义是运营商有着近水楼台的优势,在IDC出口方向可以把流量做镜像到自己的服务器上,该服务器可以将URL上的资源提取出来,然后查找自己的<span class="colour" style="color: rgb(120, 157, 191);">数据库</span>、存储资源是否有该资源,如果有那么就会302到自己的服务器上,为用户提供资源,从而拦截了正常的请求响应。如果没有该文件,运营商通常会统计资源的热点程度,毕竟运营商的存储设备也不是无限大的,为了提高利用率肯定要优先缓存访问量高的文件。接着刚才的说,如果存储设备里没有该资源,那么运营商会监听这个请求流,直到请求返回应答,这样自己在本地也就可以备份一份资源了,如再有请求过来,就可以直接吐给用户数据。这样就做到了劫持。

当然,再进一步讲,劫持动作可以做到你家门口,原理、意义,同上。

解决办法

原理和现象比较好说,但是说到解决办法其实并没有什么主动出击,考自己攻破的方法,只能求爷爷告奶奶的去找我们的IDC机房,让他们把我们劫持的现象(HTTP302)、诉求、相关数据上传到集团哪里,找到相对应的人员才可以解决。运营商一般处理办法就是在他们自己的缓存设备上把劫持的域名加入白名单,然后清除缓存。这样再过来请求的流就不会被劫持了。

我还见过其他方式的劫持,不是运营商自己做的,而是和竞争厂商一起做的,比如A公司和B公司为行业利益相争的友商,不凑巧的是A公司的实力比较雄厚可以收拢运营商的人,或者某个IDC机房的人,在机房出口或者小区出口架设分流器等设备来采集通过的业务流量,一旦流量被匹配上之后也直接做劫持,这种情况再工作中虽然不常见,但是只要遇到解决起来极其的费劲

  • 我们应该向客户说明情况并收集一些证据如劫持证据、证明CDN授权、监控数据等。
  • 联系劫持ip归属地的IDC机房负责人或者运营商的人来说明情况。
  • 有些运营商也建议直接找当地公安局、网警进行报案,并配合处理。
  • 自行去当地机房查看设备情况,一同排查内部架构。
  • 找到被劫持的友商了解情况,通过公司高层、集团领导出面处理。
  • 技术过硬的话可以采取HTTPS进行加密传输,或者其他技术手段避开数据采集。
  • 最后一点,希望以上建议可以解决问题,如不能,请看下一条。
  • 最最后一条,终极奥义!以其人之道还治其人之身!

收个尾巴

暂且,个人对运营商劫持的理解也就到这个层次,但是我相信,在我职业生涯中这里面的猫腻肯定不是只有这些,运营商想搞事情,谁拦得住?!

2017年10月25日

工作中遇到新的劫持现象,http状态码499突增。

我先说现象:

抓包看到,客户端有request请求包过来,然后按理说服务器需要回response返回给客户端,但是随即又收到了客户端发来的RST这就表示客户端又把连接关闭,起初排查时候认为是下载速递有影响导致客户端等待不及就把连接手工断开了,或者是客户端的故障导致重新建联,随后找到运营商那边了解情况,发现业务访问没有影响,细查后发现是有缓存设备。

缓存原理:

当客户端(真)发起请求时,经过一系类的dns解析、调度来我们服务器,然后建立tcp连接后准备请求数据,然后缓存服务器进行数据流分析,根据文件类型做匹配,如果匹配到缓存服务器中有该请求文件,则做2个动作,第一是返给客户端302跳转到自己的缓存存储服务器上请求数据,第二是模仿客户端的ip地址向真正的业务服务器发起断开连接,服务器会认为客户端(假)取消了建联,进而切断了真的客户端与服务器之间的数据交互。然后缓存服务器把资源吐给客户端。

排查后就需要联系缓存业务的人员取消劫持,只是在排查过程中很难发现有“中间人”在从中捣乱。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/276479.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

php 修改上传文件大小 (max_execution_time post_max_size)

转载链接&#xff1a;http://hi.baidu.com/ttl289/item/683c8223a54c6d0f76272cd7 有些朋友要通过自己的网站后台&#xff0c;包括论坛&#xff0c;来上传一些文件&#xff0c;php一般为2m&#xff0c;或8m&#xff08;以下我们按默认为2m&#xff09;&#xff0c;接下来就是来…

移动硬盘格式化(pc和mac共用)-菜鸟级解决方案[转]

用pc的时候买了一个320G的移动硬盘&#xff0c;从来没考虑过什么格式化的问题&#xff0c;插上就用了。 后来接触mac才发现pc和mac在移动存储设备的格式化上还是有不少冲突的。如果你的移动硬盘mac上不能修改&#xff0c;或者pc上找不到&#xff0c;那就尽情得批判万恶的资本主…

【php】php的ssh2扩展的安装

ssh2(secure shell2)&#xff0c;对于远端主机提供高安全性的资料传输工作。安装&#xff1a;1、首先要装OpenSSL。 2、要安装 libssh2../configure && make all install3、再然后&#xff0c;安装PECL/ssh2可以使用 pear install ssh2安装&#xff08;有的说是 pear i…

回答知乎问题:你写过什么自认为惊艳的诗?

首次整理于 2019-07-27 22:04:00&#xff0c;现在整理发布在公众号申明原创。整理了一下大学期间2012年&#xff5e;2016年发布在QQ空间&#xff0c;自己感觉写得还行的七首“诗词”。回答知乎问题&#xff1a;你写过什么自认为惊艳的诗&#xff1f;中国古诗词博大精深。小时候…

lighttpd安装配置支持php

转载链接&#xff1a;https://wiki.freebsdchina.org/howto/n/php_fastcgi_lighttpd 安装lighttpd 记得在SPAWNFCGI前打勾 [X] SPAWNFCGI Depend on spawn-fcgi utility #cd /usr/ports/www/lighttpd #make config #make install clean 安装php 模块自己看自己需要 #cd /usr/p…

密码可逆不可逆选择_膝关节损伤不可逆!跑步要注意!

膝盖同时也是运动者最常受伤的关节。根据美国运动医学整型外科协会的报告&#xff0c;美国每年约有三百万人拉伤、挫伤、或扭伤他们的膝部&#xff0c;其中约有一半是因为运动引起的。而对于跑者而言&#xff0c;影响最大的就是我们的膝关节。换言之&#xff0c;长跑的潜在危害…

MS CRM 2011 C#中获取Web Resource

原创地址&#xff1a;http://www.cnblogs.com/jfzhu/archive/2013/02/15/2913077.html 转载请注明出处 我在以前的文章中讲过如何用JScript读取web resource资源&#xff0c;我在本文中将要讲解如何在C#中获取web resource资源。 有时候可能有这样的需求&#xff0c;你需要在一…

测试驱动开发

测试驱动开发: 测试驱动开发&#xff08;Test Driven Development,英文缩写TDD&#xff09;是极限编程的一个重要组成部分&#xff0c;它的基本思想就是在开发功能代码之前&#xff0c;先编写测试代码。也就是说在明确要开发某个功能后&#xff0c;首先思考如何对这个功能进行测…

面试官问:能否模拟实现JS的call和apply方法

写于2018年11月30日&#xff0c;发布在掘金上阅读量近一万&#xff0c;现在发布到微信公众号申明原创。相对比较基础的知识&#xff0c;虽然日常开发可能用得比较少&#xff0c;各种源码中有很多call和apply&#xff0c;需要掌握。前言这是面试官问系列的第三篇&#xff0c;旨在…

HTML中小meta的大作用

转载链接&#xff1a;http://www.pconline.com.cn/pcedu/sj/wz/html/0401/293106.html meta是用来在HTML文档中模拟HTTP协议的响应头报文。meta 标签用于网页的<head>与</head>中&#xff0c;meta 标签的用处很多。meta 的属性有两种&#xff1a;name和http-equiv。…

prometheus 发送恢复 值_Prometheus基础知识介绍

【编者的话】本文会让你了解Prometheus是什么&#xff0c;并让你理解它在监控领域的适用场景。Prometheus起源很久以前&#xff0c;加利福尼亚州山景城有一家名为Google的公司。他们推出了大量产品&#xff0c;其中最著名的是广告系统和搜索引擎平台。为了运行这些不同的产品&a…

FAT32格式和NTFS有什么区别

FAT32与NTFS的区别在推出FAT32文件系统之前&#xff0c;通常PC机使用的文件系统是FAT16。像基于MS-DOS&#xff0c;Win 95等系统都采用了FAT16文件系统。在Win 9X下&#xff0c;FAT16支持的分区最大为2GB。我们知道计算机将信息保存在硬盘上称为“簇”的区域内。使用的簇越小&a…

修复系统COM+

有的时候由于安装COM&#xff0b;过程中出错&#xff0c;可能会造成不能再次展开COM&#xff0b;浏览器的〔我的电脑〕。解决办法&#xff1a;1 删除注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM32 运行appwiz.cpl&#xff0c;打开系统的[添加\删除]窗体&#xff0c;点击…

面试官问:JS的this指向

写于2018年12月25日&#xff0c;发布在掘金上阅读量近一万&#xff0c;现在发布到微信公众号申明原创。前言这是面试官问系列的第四篇&#xff0c;旨在帮助读者提升JS基础知识&#xff0c;包含new、call、apply、this、继承相关知识。面试官问系列文章如下&#xff1a;感兴趣的…

CSS实现div悬浮框的代码(兼容IE6)

转载链接&#xff1a;http://hi.baidu.com/grayworm/item/b735c2061f4e33ea34990265 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns"http://ww…

python数组替换_Python:替换数组中的值

我会按照以下思路做些事情&#xff1a;import numpy as npdef fill(arr, fwd_fill):out arr.copy()if fwd_fill:start, end, step 0, len(out), 1else:start, end, step len(out)-1, -1, -1cur out[start]for i in range(start, end, step):if np.isnan(out[i]):out[i] cu…

(原創) 如何在Ubuntu設定P7010的1280 x 768解析度? (OS) (Linux) (Ubuntu) (NB) (P7010)

AbstractFujitsu P7010唯一較特別的硬體規格就是1280 x 768的解析度&#xff0c;無論任何Linux distribution預設都只能抓到1024 x 768&#xff0c;該如何才能抓到最佳的1280 x 768呢?IntroductionP7010非常適合Linux&#xff0c;但唯一的遺憾就是1280 x 768解析度不被支援&am…

python的常量和变量_python变量和常量

变量什么是变量&#xff1f;变量&#xff0c;是用于在内存中存放程序数据的容器计算机的最核心功能就是“计算”&#xff0c; 计算需要数据源&#xff0c;数据源要存在内存里&#xff0c;比如我要把小明的姓名、身高、年龄信息存下来&#xff0c;后面程序会调用。怎样定义一个变…

要做PPT,一直找不到资源?

写于 2016年6月&#xff0c;工作后就很少做PPT了。但工作至今也有人问我如何做PPT有没有模板之类的问题&#xff08;比如&#xff1a;大学室友做公司年度汇报时也找到我问有没有模板&#xff0c;我发了这篇文章给他&#xff0c;他说不记得我写了这篇文章呀&#xff09;&#xf…

Linux系统安装Appach 2.4.6

转载链接&#xff1a;http://www.cnblogs.com/kerrycode/p/3261101.html Apache简介 Apache HTTP Server&#xff08;简称Apache&#xff09;是Apache软件基金会的一个开放源码的网页服务器&#xff0c;可以在大多数计算机操作系统中运行&#xff0c;由于其多平台和安全性被广…