V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
1340976576
V2EX  ›  程序员

为什么 IDC 无法拦截未备案域名

  •  
  •   1340976576 · 2022-05-11 18:09:23 +08:00 · 3663 次点击
    这是一个创建于 928 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前几天的有个社友吐槽青云的服务器,今天我也遇到了类似的事情。

    原贴: https://www.v2ex.com/t/847747

    之前买了福州某 IDC 机房的云服务器,今天上午突然接到客服电话,说有一个未备案的域名解析到了我的 IP 上, 好家伙,这个域名 cname 到我的网站后,居然可以直接访问,在我的印象中,没有 ICP 备案的应该会被跳转到某个提示页面上,这个 IDC 也粗糙了吧。

    关键是这个域名并不是我的,当时也没有多想,随即就把这个域名在应用层上拦截了,再访问的话直接跳转到我自定义的一个 404 页面(404 页面啥都没有,只有 404 字样)。

    本来以为就万事大吉了,结果下午机房直接把我的服务器关机了,理由是:网安要求跳转到 403 ,然后给了我一份 nginx 跳转到 403 的配置文件。

    image.png

    我很不能理解,为什么 IDC 不直接拦截下未备案的域名呢,我找了几个提供检测域名是否有 IPC 备案的 API, 价格大概在 0.001 元一次左右,而且工信部 ICP 备案系统是免费查询的(不提供 API ),总之就是检测和拦截成本应该是很低的

    24 条回复    2022-05-12 12:44:01 +08:00
    leavic
        1
    leavic  
       2022-05-11 18:17:19 +08:00
    这个行业本身就游走在合法与灰色地带之间,你什么都太合规,不一定就是好事。
    billlee
        2
    billlee  
       2022-05-11 18:20:33 +08:00
    实现难度和成本是不同的,检测是旁路部署,阻断就需要发 RST 了,要 HTTP 跳转那就更复杂。
    eason1874
        3
    eason1874  
       2022-05-11 18:28:52 +08:00   ❤️ 1
    IDC 可以拦截,以前未备案都是服务商自己拦截的

    也就这两年开始甩锅给用户了,好像是网安的要求,而且各地网安水平不一样,要求不一样。有的要求返回 404 ,有的要求返回 403 ,有的连 404 页面都要求是 Nginx / Apache 默认模板,换其他的他们不认,真的很难绷得住
    icyalala
        4
    icyalala  
       2022-05-11 18:32:01 +08:00   ❤️ 1
    你想要的是白名单吗?
    encro
        5
    encro  
       2022-05-11 18:40:10 +08:00
    人家为什么要实现?
    浪费资源是不。

    不要解析默认域名。。。
    或者将默认域名指向不存在的地址,这个本身没有什么问题,是应该做的。
    wd
        6
    wd  
       2022-05-11 18:40:41 +08:00 via iPhone
    都是买卖,慢慢学吧...
    rekulas
        7
    rekulas  
       2022-05-11 18:43:04 +08:00   ❤️ 1
    你第一步处理错了,不要 404 ,直接中断连接就行了,工信部检查只要页面能打开不管什么状态都算打开,最稳的就是让它无法访问
    gam2046
        8
    gam2046  
       2022-05-11 18:52:08 +08:00
    可能是出于成本考虑吧,毕竟自己做要软件开发成本,要硬件设备成本。写劈叉了还要挨骂,甩锅给使用者成本足够低。不听就暂停服务。
    1340976576
        9
    1340976576  
    OP
       2022-05-11 18:53:56 +08:00
    @billlee
    问:为什么你们不能像阿里云一样,对未备案的域名跳转到一个指定页面上
    客服答:暂时不支持哈
    learningman
        10
    learningman  
       2022-05-11 19:25:03 +08:00
    nginx 里面对 server_name _ 加个 return 499 就行吧(大概
    MengiNo
        11
    MengiNo  
       2022-05-11 19:29:14 +08:00 via Android   ❤️ 4
    我反正是觉得未备案域名被阻断才是有问题
    XIU2
        12
    XIU2  
       2022-05-11 19:46:15 +08:00
    或者用 return 444 空回复,浏览器会显示为网页无法打开。
    fisherman0459
        13
    fisherman0459  
       2022-05-11 19:49:15 +08:00   ❤️ 1
    试试 Nginx 的 444 Code:

    server {
    listen 80 default_server;
    server_name _;
    return 444;
    }
    Chism
        14
    Chism  
       2022-05-11 20:09:01 +08:00
    要不改成,不是你的域名全部跳 403 吧
    ZE3kr
        15
    ZE3kr  
       2022-05-11 20:10:28 +08:00 via iPhone
    我的所有请求强制跳转 https ,别人的域名会证书错误
    1340976576
        16
    1340976576  
    OP
       2022-05-11 20:20:33 +08:00   ❤️ 1
    @fisherman0459
    @Chism
    我的 web 应用压根就不用 nginx , 现在强行让我套上一层 nginx ,觉得有点强迫的意思,另外我理解拦截未备案不是 IDC 应该做的吗
    Chism
        17
    Chism  
       2022-05-11 21:16:38 +08:00 via Android
    @1340976576
    小公司估计不愿意搞
    阿里 腾讯 华为这些我记得是拦截的
    uqf0663
        18
    uqf0663  
       2022-05-11 21:48:24 +08:00
    @Chism 不是不愿意搞,即使愿意应该也搞不了,想想看整个机房的流量都要过去检测一下,在大流量面前,性能等软硬件各个方面可是个大问题。
    unclemcz
        19
    unclemcz  
       2022-05-11 21:51:07 +08:00
    服务商不愿意搞而已吧,域名备案操作本身就是通过服务器提供商进行的,我用的百度云是直接拒绝非本人备案的域名指向自己 IP 的。
    Kinnice
        20
    Kinnice  
       2022-05-12 08:41:31 +08:00 via Android
    成本下放到用户
    bybyte
        21
    bybyte  
       2022-05-12 09:30:47 +08:00
    阿里腾讯的会自动拦截跳转到一个提示要备案的网站,,你这个要求自己跳转是否有点....
    markgor
        22
    markgor  
       2022-05-12 09:45:43 +08:00
    这很青云啊
    limetw
        23
    limetw  
       2022-05-12 11:38:00 +08:00 via Android
    问题不应该是备案本身么?
    linescape
        24
    linescape  
       2022-05-12 12:44:01 +08:00
    如果拿一个未备案域名做一堆子域解析到这个服务商所在的 ip 段上,是不是它就要倒闭了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   878 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 21:02 · PVG 05:02 · LAX 13:02 · JFK 16:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.