域名部分流量被劫持，如何查出黑手是谁？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3482 天前的主题，其中的信息可能已经有所发展或是发生改变。

网站域名被做了302跳转（当然不是所有流量都跳转，目前还没找到规律）跳到了一个广告页，做的很隐蔽，前几天抓到过包发现被302，最近都没法重现了。。。不知道是电信运营商干的，还是域名注册商有人动了手脚，这个应该怎么查呢？

域名

劫持

流量

16 条回复 • 2015-05-14 10:46:18 +08:00

imn1

2015-05-13 12:22:24 +08:00

1.dns劫持
2.http劫持
3.没有劫持网页本身，但劫持了某个插件/油猴脚本的更新url，然后偷偷放入跳转/广告脚本
这三种情况都遇到过，具体谁做的就不说了，既然抓包了，查查 IP 就知道了

1.选择可信的dns
2. 1) https
2) hosts大法，我的 hosts 杀了 3w+ “不良”域名，包括广告、流量统计、携毒、后台安装程序……等
3) iptable reject，某些污染来源是固定 ip 的，整段屏蔽即可
3.自查，装个插件，记录所有浏览器发出的请求

Slienc7

2015-05-13 12:43:02 +08:00 via Android

@imn1 先看看他到底是什么意思

wy315700

2015-05-13 12:48:57 +08:00

@imn1
@xgowex
不知道楼主是他自己的网站被劫持，还是上网的时候部分网站被劫持。

pythonfan

2015-05-13 13:15:08 +08:00

@imn1 @xgowex @wy315700
是我的网站被劫持了，不是个人上网的时候被劫持呢
我自己怀疑是域名注册商那边，有人搞鬼，之前有查到，
输入域名做了个302跳转到其他地址，但是最近又无法重现了。
目前还不知道对方的规则怎样的，并不是每个用户都会出现跳转，
比如100个访问，有可能有几个跳转了。。。

Feobe

2015-05-13 13:30:12 +08:00

楼主网站看来流量很大

lyragosa

2015-05-13 13:33:05 +08:00

全程强制https

这都能被搞基本上也没救了

mgc

2015-05-13 14:01:37 +08:00

互联网“新常态”

monsabre1

2015-05-13 14:12:03 +08:00

@pythonfan

这种多是国内上网isp搞的

随便找家国外vps／或者免费的空间模拟访问下就知道了

Slienc7

2015-05-13 19:20:41 +08:00 via Android

@pythonfan dns服务如果用的不是注册商的，基本不可能

pythonfan

2015-05-13 19:58:55 +08:00

@xgowex 说到dns服务，dns的服务器是我们自己的，有三台，那应该是某一台被黑了。。。

pythonfan

2015-05-13 20:00:27 +08:00

@monsabre1 你是指运营商哦？
好的，我试试看

l12ab

2015-05-13 20:20:16 +08:00

运营商的HTTP劫持可能性比较大
我这厂里用的，打开京东淘宝去哪儿等等有联盟的网站，都会跳转几次，然后回到相应的网站，最后URL变成了一长串。
访问百度也是如此，即便百度已经全站HTTPS。

zhaogoodluck

2015-05-13 21:25:18 +08:00

楼主可以给我一下域名，我可以帮你试着查一下。

pythonfan

2015-05-14 00:56:28 +08:00

@l12ab 我记得电信，网通都有抓到过跳转，如果是运营商劫持，是不是只可能针对一种有效呢？

pythonfan

2015-05-14 00:57:56 +08:00

@zhaogoodluck 请问这种要怎么查呢？

zhaogoodluck

2015-05-14 10:46:18 +08:00

@pythonfan 我在某运营商工作，管理dpi数据。