标签:servers gtld 恶意 排查 域名 172800 net NS com
网站域名指向恶意地址问题排查
查看现状:
- 当前网络环境ping域名。或使用网络工具ping域名
-
- whois查询域名当前托管dns服务器是否正确。
- 登录当前托管dns服务器对应的域名控制台检查是否有篡改。
DNS解析流程
分为服务器问询转发阶段和服务器解析转发阶段。
问询转发阶段:判断到底哪一个服务器被DNS劫持
使用制定域名服务器比如8.8.8.8进行域名解析,是否正确。检查是否所有dns服务器均指向恶意地址。
#nslookup host server
nslookup exampleDomainName 8.8.8.8
#dig @server host type
dig @8.8.8.8 exampleDomainName A
权威DNS没有被劫持,但是部分DNS被劫持,则想办法联系具体DNS服务器厂商解决。(此种情况很少,一般是DNS服务器公司被黑,且黑客针对你的域名,成本较高)
服务器解析转发阶段:判断到底是哪一个服务器返回的问题解析记录
使用dig的trace功能实现每一层域名都进行解析。
#dig @server host type +trace
#以jd.com为例,可以看到jd.com是由ns1.jdcache.com等域名服务器返回。如果解析错误则修改ns1.jdcache.com的配置。
dig @8.8.8.8 jd.com A +trace
; <<>> DiG 9.16.27-Debian <<>> @8.8.8.8 jd.com A +trace
; (1 server found)
;; global options: +cmd
. 74473 IN NS m.root-servers.net.
. 74473 IN NS b.root-servers.net.
. 74473 IN NS c.root-servers.net.
. 74473 IN NS d.root-servers.net.
. 74473 IN NS e.root-servers.net.
. 74473 IN NS f.root-servers.net.
. 74473 IN NS g.root-servers.net.
. 74473 IN NS h.root-servers.net.
. 74473 IN NS a.root-servers.net.
. 74473 IN NS i.root-servers.net.
. 74473 IN NS j.root-servers.net.
. 74473 IN NS k.root-servers.net.
. 74473 IN NS l.root-servers.net.
. 74473 IN RRSIG NS 8 0 518400 20220617050000 20220604040000 47671 . QRMYuwuuYT/8aSRSLZ/NIMoALW3lWqCTrVEib86CKo+pgfJnbk7X8+Bo K/8KLNcpOpfWj6zPWYahCV19MvXU7RS4xfl+ZL3k9ES+YnJZE74S/2Zn qEC9Sge8WEGWrudmBFJ/95elJTER0DlNH8v/MEfhWm3d1B2IxkyQWyR/ 7YdNzMfRexGhR734B/KStL8j9sBCLRWb5RWc6rt2Iw41rLZDqKNKx4rL A1+4izBPmgzXsROKCscEk9Huh7ynIguios57LEe6c+3ZwGZIVtdIM2dX UZLtOlGWaftcUnt1HyHwLI0Xl18kkNBJWwzFhJMltshIX4bHjevFzieS LLYRvg==
;; Received 525 bytes from 8.8.8.8#53(8.8.8.8) in 107 ms
com. 172800 IN NS a.gtld-servers.net.
com. 172800 IN NS b.gtld-servers.net.
com. 172800 IN NS c.gtld-servers.net.
com. 172800 IN NS d.gtld-servers.net.
com. 172800 IN NS e.gtld-servers.net.
com. 172800 IN NS f.gtld-servers.net.
com. 172800 IN NS g.gtld-servers.net.
com. 172800 IN NS h.gtld-servers.net.
com. 172800 IN NS i.gtld-servers.net.
com. 172800 IN NS j.gtld-servers.net.
com. 172800 IN NS k.gtld-servers.net.
com. 172800 IN NS l.gtld-servers.net.
com. 172800 IN NS m.gtld-servers.net.
com. 86400 IN DS 30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com. 86400 IN RRSIG DS 8 1 86400 20220617050000 20220604040000 47671 . WoYBrp3hGL9a9Ia6ywDJiRVACeqbNfwtMghubFUAzEIDNwv9nMQ7ISUn w69zshj+8gNZCUw+fNNFW1A5yinl+iHn+GUNqghJcC07tjd9MD+QJajQ yZ+j7FfK/9A6nvw7d4qQqBN7X/HhFnslheEWXGiYMnWai8BRJ8Maw//b 7PcX7L+SOZSDwXvl6qsoyQ3vEPtiGsrdEi6oOY3He4dbsPaBA0AWNZd3 IzRlQZDYudjFQEk6dkh0uH+04myQ9EsaYTwWbteJC5lWQFTJ4/82QBJr GrfysHARuSodNdBg10aMz5fwFaeIR1Lo7fN8Ra+mFltuM7c9wJN1szuO 6HYK7g==
;; Received 1166 bytes from 2001:500:a8::e#53(e.root-servers.net) in 203 ms
jd.com. 172800 IN NS ns1.jdcache.com.
jd.com. 172800 IN NS ns2.jdcache.com.
jd.com. 172800 IN NS ns3.jdcache.com.
jd.com. 172800 IN NS ns4.jdcache.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q2D6NI4I7EQH8NA30NS61O48UL8G5 NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20220608042403 20220601031403 37269 com. ozicRbXs1f8Or3AAYdpbqLFsbX09yaAlkE2HihHuVaS3VoYIkT9x35JO 8/XtH+bLEcjjNoQ1bicdABsjObfXiW3t6j/WYRhDJFui+fcE+dhhtAxP xoZ9zMed9AeSrerC0oAl7zQL2ytmDTfqFLUO7nuwZMjv8KhwHiozhOVR KzciHh8L72UaGEu9qRQo7EHwshcPeth/MtvvhnwDvFcmrA==
VCN6Q8H9MIEKN5EKAK1HS59G6K6VPTQQ.com. 86400 IN NSEC3 1 1 0 - VCN7HQ5M4HM63EF0EH8G6TS229NC63T8 NS DS RRSIG
VCN6Q8H9MIEKN5EKAK1HS59G6K6VPTQQ.com. 86400 IN RRSIG NSEC3 8 2 86400 20220610045341 20220603034341 37269 com. GAddg4aI9AdrZYzu7OzW8R+kvtYakJBkK1tpKVhXd55fpbQ9xN6k0F1X za/GQ7HgjJSb4v2lDHpThkMlH0hLk0bKvJ1+P7jwi5XV+SeTvnr/NXBK kcA2CYvlHopNSD5HDE7sxQHFm/gjzTEXIkv0MpbpiDjgFMyUmyzdc5wM HQqwntkJxuTPaftqXDpnwcmvnqcFhjkn/BwNHLDPXlCezA==
;; Received 728 bytes from 192.35.51.30#53(f.gtld-servers.net) in 307 ms
jd.com. 120 IN A 211.144.27.126
jd.com. 120 IN A 211.144.24.218
jd.com. 120 IN A 111.13.149.108
jd.com. 120 IN A 106.39.171.134
;; Received 88 bytes from 120.52.149.254#53(ns3.jdcache.com) in 3 ms
如果以上解析显示的结果不明显,可以多尝试几次。有时候就是解析不出来。
使用指定域名服务器解析的方式,检查当前域名使用的域名服务器的返回结果
#dig @server host type
dig @yourManagedDNSServer exampleDomainName A
#以京东为例。
#如果返回ip,则说明是此域名服务器返回。
#dig @ns1.jdcache.com jd.com A
; <<>> DiG 9.16.27-Debian <<>> @ns1.jdcache.com jd.com A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 24295
;; flags: qr aa rd; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;jd.com. IN A
;; ANSWER SECTION:
jd.com. 120 IN A 211.144.27.126
jd.com. 120 IN A 211.144.24.218
jd.com. 120 IN A 111.13.149.108
jd.com. 120 IN A 106.39.171.134
;; Query time: 7 msec
;; SERVER: 111.13.28.10#53(111.13.28.10)
;; WHEN: Sat Jun 04 23:46:10 CST 2022
;; MSG SIZE rcvd: 88
#如果没有返回ip,则说明此域名服务器无法解析此域名。
#下面例子使用ns1.jdcache.com解析baidu.com,返回无法解析
; <<>> DiG 9.16.27-Debian <<>> @ns1.jdcache.com baidu.com A
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 47919
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; WARNING: recursion requested but not available
;; QUESTION SECTION:
;baidu.com. IN A
;; Query time: 7 msec
;; SERVER: 111.13.28.10#53(111.13.28.10)
;; WHEN: Sat Jun 04 23:46:55 CST 2022
;; MSG SIZE rcvd: 27
标签:servers,gtld,恶意,排查,域名,172800,net,NS,com 来源: https://www.cnblogs.com/white586/p/16372551.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。