关注:上海电信DNS劫持事件[含技术分析]

据查证,上海电信在近一个月内对其所属的DNS服务器做了某些明显违背互联网规范的行为,导致出现将客户浏览器导向其自身所辖的114号码百事通,此种行为非常令人不齿.使用上海电信宽带接入的朋友可能最近也经常像我一样在浏览网站时莫名其妙地输入网址后转向了114查询的页面,此类事故在以前曾听过有类似的传言,而以前我个人并未碰到,所以并不在意,但如今我是天天被114这个破烂页面骚扰,于是也不得不仔细找找原因了.

首先解释一下什么是DNS劫持。严格来说上海电信的这种行为不能算是DNS劫持，但似乎除了这个名词也没有更适合的词来形容这种行为了，所以就需要解释一下DNS劫持的来龙去脉，免得有人说我误导初学者。
DNS劫持是网络安全界常见的一个名词，意思是通过某些手段取得某一目标域名的解析记录控制权，进而修改此域名的解析结果，通过此修改将对此域名的访问由原先的IP地址转入到自己指定的IP，从而实现窃取资料或者破坏原有正常服务的目的。举个例子，例如www.sohu.com原指向1.1.1.1，这个 IP是sohu正常服务的服务器IP。而某黑人拿到了修改sohu.com域名解析的权利，将其解析记录修改为2.2.2.2，则修改后对于 www.sohu.com的访问都会指向2.2.2.2这个IP。此黑人在2.2.2.2这个他自己所有的IP上放了一个完全仿冒的sohu主页，只是将登陆sohu邮箱的这个界面改为把客户填写的邮箱名和密码记录下来。这样普通客户访问www.sohu.com时看到的是表面为sohu主页，而实际为假冒页面的李鬼了。此时客户如果继续登陆其sohu邮箱，则其帐户就被黑人拿到了。

回到主题---有关上海电信的DNS劫持行为。在我发现近期浏览网页出现异常的这段时间里，我注意搜索了一下关于这方面的讨论，发现上海电信的这种不道德行为确实是存在的，只是我以前恰好没有入套而已。根据我搜索来的资料，在06年下半年的时间里，上海电信实现了通过IE浏览器搜索功能来推送电信的114 搜索。其具体原理是与IE本身的实现相关。简单来说，IE对于输入的网址，如果无法正常解析其域名或者输入的根本就不是域名的话，会调用它自身定义的搜索引擎来搜索这个地址。这个搜索引擎，默认是MSN（在之前是3721，但06年微软终止了与3721的合同，所以是MSN）。所以此时地址会转向 http://auto.search.msn.com。上海电信为了将这部分流量导入自己的怀里，做了2种小动作：
&S226;第一是在他们的星空XX拨号软件里，只要安装这个软件，就会修改注册表将IE的搜索引擎改为http://search.114.vnet.cn，于是这些流量被导入到114，此做法尚可忍受，因为毕竟软件是可以选择的，而修改也是可以改回来的。
&S226;第二就是DNS劫持了，这就是公然违反网络标准以及违反互联网道德的行为了。具体细节就是在上海电信的几个DNS服务器中作手脚，将对auto.search.msn.com这个域名解析的应答篡改为他们自己的IP地址，这是很容易查出来的：
首先看由Root服务器下来的权威结果，我们用DNSStuff这个在线网站测试，URL为http://www.dnsstuff.com/tools/lookup.ch?name=auto.search.msn.com&type=A，可以看到如下结果：

Response:

Domain Type Class TTL Answer
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.38
a134.g.akamai.net.6528acf.1.cn.akamaitech.net. A IN 20 67.130.109.16

NOTE: One or more CNAMEs were encountered. auto.search.msn.com is really a134.g.akamai.net.6528acf.1.cn.akamaitech.net. [auto.search.msn.com->sea.search.msn.com->sea.search.msn.com.nsatc.net->
search.msn.com.edgesuite.net->a134.g.akamai.net->
a134.g.akamai.net.6528acf.1.cn.akamaitech.net]



再来看我们使用了上海热线DNS所解析出来的结果，我这里用BIND提供的dig工具来取结果：


# dig @202.96.209.5 A auto.search.msn.com

; <<>> DiG 9.2.4 <<>> @202.96.209.5 A auto.search.msn.com
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 18248
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 4

;; QUESTION SECTION:
;auto.search.msn.com. IN A

;; ANSWER SECTION:
auto.search.msn.com. 86400 IN A 218.30.64.194

;; AUTHORITY SECTION:
auto.search.msn.com. 86400 IN NS ns-puxi.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pudong.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-pd.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px.online.sh.cn.
auto.search.msn.com. 86400 IN NS ns-px2.online.sh.cn.

;; ADDITIONAL SECTION:
ns-pd.online.sh.cn. 86400 IN A 202.96.209.133
ns-px.online.sh.cn. 86400 IN A 202.96.209.5
ns-puxi.online.sh.cn. 86400 IN A 202.96.209.5
ns-pudong.online.sh.cn. 86400 IN A 202.96.209.133

;; Query time: 23 msec
;; SERVER: 202.96.209.5#53(202.96.209.5)
;; WHEN: Wed Mar 14 14:51:08 2007
;; MSG SIZE rcvd: 236


可以看到auto.search.msn.com被解析到了218.30.64.194这个IP，这显然是不对的，而本应属于微软的msn域名的NS记录竟然为5个上海热线的域名服务器，很明显猫腻就在这里了。
那我们就顺便查查218.30.64.194这个IP的所有，通过IP whois信息库，查询方法也是通过方便至极的DNSStuff，URL如下：http://www.dnsstuff.com/tools/whois.ch?ip=218.30.64.194，摘录一下结果：


WHOIS results for 218.30.64.194
Generated by www.DNSstuff.com
Location: China [City: Shenzhen, Guangdong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.


% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.30.64.0 - 218.30.64.255
netname: CHINANET-CN
country: CN
descr: Chinavnet
descr: No.31 ,jingrong street,beijing
admin-c: CH93-AP
tech-c: CH93-AP
status: ALLOCATED NON-PORTABLE
changed: *****@chinatelecom.com.cn 20051026
mnt-by: MAINT-CHINANET
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC


很明显这个IP是中国电信的，而msn的域名就是这样被强奸到了中国电信的IP。


以上就是06年中上海电信所做的手脚了，其实对于如此行为我个人还是可以忍受的，因为第一我不会去装什么星空XXX，即使装了我也有办法不用你的东西。第二我不用MSN的搜索，你劫持了它对我没什么影响。然而，从最近一段时间的异常来看，事情显然已经不只是这个地步了，因为我在用各种浏览器各种搜索引擎的时候都碰到了被转向了114的情况，再加上我个人工作所维护的一些邮件服务器最近发现的怪异情况，我有理由怀疑上海电信在DNS上做了更令人不齿的行为。很不幸，我只是简单测试了一下，就发现确实如此，这次的行为可谓明刀明枪的抢劫了：

C:>ping notpresentxxxxxxxxxx.cn

Pinging notpresentxxxxxxxxxx.cn [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=124ms TTL=242
Reply from 218.83.175.154: bytes=32 time=122ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242
Reply from 218.83.175.154: bytes=32 time=134ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 122ms, Maximum = 134ms, Average = 128ms
C:>ping dsfsdofhetfowefuwdf.com

Pinging dsfsdofhetfowefuwdf.com [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=126ms TTL=242
Reply from 218.83.175.154: bytes=32 time=125ms TTL=242
Reply from 218.83.175.154: bytes=32 time=116ms TTL=242
Reply from 218.83.175.154: bytes=32 time=118ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 116ms, Maximum = 126ms, Average = 121ms

C:>ping gherogfhgnewlffefh.com

Pinging gherogfhgnewlffefh.com [218.83.175.154] with 32 bytes of data:

Reply from 218.83.175.154: bytes=32 time=674ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1007ms TTL=242
Reply from 218.83.175.154: bytes=32 time=1002ms TTL=242
Reply from 218.83.175.154: bytes=32 time=812ms TTL=242

Ping statistics for 218.83.175.154:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 674ms, Maximum = 1007ms, Average = 873ms


相信会用ping命令的网友们自然能看得懂这段输出的意思，简单来说，我ping了3个根本不存在的域名，本应出现找不到域名错误(hostname not found)，然而这显然不存在的3个域名竟然能得到解析结果，而无一例外的指向同一个IP----218.83.175.154。这个IP是什么我想大家应该也会非常有兴趣知道，点一下看看吧http://218.83.175.154。照样不能忘记把这个IP的whois信息拿出来作证据：http://www.dnsstuff.com/tools/whois.ch?ip=218.83.175.154，顺便贴出来：



WHOIS results for 218.83.175.154
Generated by www.DNSstuff.com
Location: China [City: Shanghai, Shandong]

ARIN says that this IP belongs to APNIC; I'm looking it up there.


% [whois.apnic.net node-1]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 218.78.0.0 - 218.83.255.255
netname: CHINANET-SH
descr: CHINANET Shanghai province network
descr: Data Communication Division
descr: China Telecom
country: CN
admin-c: CH93-AP
tech-c: XI5-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-CHINANET-SH
mnt-routes: MAINT-CHINANET-SH
status: ALLOCATED PORTABLE
changed: **********@apnic.net 20060427
source: APNIC

person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: *********@ns.chinanet.cn.net
address: No.31 ,jingrong street,beijing
address: 100032
phone: +86-10-58501724
fax-no: +86-10-58501724
country: CN
changed: *****@chinatelecom.com.cn 20051212
mnt-by: MAINT-CHINANET
source: APNIC

person: Wu Xiao Li
address: Room 805,61 North Si Chuan Road,Shanghai,200085,PRC
country: CN
phone: +86-21-63630562
fax-no: +86-21-63630566
e-mail: ********@mail.online.sh.cn
nic-hdl: XI5-AP
mnt-by: MAINT-CHINANET-SH
changed: ********@mail.online.sh.cn 20010510
source: APNIC


铁证如山，看你上海电信还如何抵赖，目前我自己发现的出现问题的DNS服务器有202.96.209.5，202.96.209.6， 202.96.209.133，202.96.209.134，都为上海电信ADSL的DHCP默认指派的DNS，应该还有数个服务器应该也是类似，只是我没有去求证。

做为中国最大的ISP，发布广告无可厚非，但却打着官方的旗号公然破坏互联网基础设施，公然违反互联网RFC，真可谓给国内各大企业带了个好头，再加上CNNIC的流氓行为，中国互联网还有什么前途？！我作为IT网络业界的一个普通技术人员，对此现状真的感到深深的悲哀。

现在唯一还能让我高兴起来的事情，就是似乎这个转入到114查询的关键字似乎是随机选取的，经常会出现让人哭笑不得的结果，莫非电信的技术们也开始学习玩无厘头风格了？

【播报】宽带用户大规模中毒断网

　　海电信公司：故障已找出并登出“治病”公告

　　据上海电信有关方面昨天表示，从本月13日开始，宽带用户开始比较多地出现断网故障，公司的故障受理部门陆续接到不少adsl用户反映，在使用adsl上网一段时间后会发生网络中断，拨号工具同时出现锁死以及无法响应的故障现象。上海电信方面没有透露受影响的用户数量。

　　上海电信有关人士透露，经技术人员现场检测分析，发现此类故障集中发生在使用windowsxp操作系统及windowsxp自带的pppoe拨号软件的系统环境下。

　　发生断网前，xp操作系统可能会弹出“generichostprocessforwin32services”的错误提示信息。“发生断网的原因，是由于微软windowsxp存在某个安全漏洞，被病毒利用攻击。”上海电信故障报修台的工作人员介绍说，微软已经发布了针对该漏洞的补丁程序，用户给自己的电脑打上这个补丁，断网的故障便可以排除。

　　“公司已经在上海热线中发布了紧急公告，”上海电信有关人士表示，在紧急公告中公司向adsl用户提供了排除问题的解决办法。记者随后登陆上海热线，在首页左侧发现了一行“电信公司adsl紧急公告”的字样。按照公告的内容，电信公司建议adsl用户密切关注微软安全公告网站中有关此故障的安全补丁更新通告。

　　病毒防范中心：染毒计算机会被黑客远程控制

　　除了上海电信的故障报修台，市计算机病毒防范中心这两天也成了宽带用户出现上网中断故障后求助的另外一个渠道。该中心相关负责人吴恩平表示，最近三天里共接到相关的求助电话超过800个。中心的诊断和电信公司基本一致，即认为导致上网中断是微软ms06-040高危漏洞被名为“魔波”的病毒利用并传播所致。当用户的计算机遭受到该病毒攻击时，会出现系统服务崩溃，无法上网等症状。

　　据介绍，“魔波”病毒会自动在网络上搜索具有系统漏洞的电脑，并直接引导这些电脑下载病毒文件和执行。只要用户的电脑没有安装补丁程序并接入互联网，就有可能被感染。被感染病毒的计算机可接受黑客的远程控制命令，除了造成断网的故障，黑客还有可能盗取用户的银行卡账号、密码及其他隐私信息。

　　“我们已经发布了重大病毒预报，”吴恩平透露，针对这个病毒，除了使用杀毒软件进行查杀，更重要的是下载安装微软提供的补丁程序，把安全漏洞“堵上”。

　　微软公司：该安全漏洞危险级别为最高级

　　按照上海电信提供的链接地址，记者登陆到微软公司的安全公告网站。微软公司在安全公告网站上披露代号为ms-06-040的漏洞严重等级为“严重”。“这是最高的严重级别，”微软公司客户服务与反馈中心的相关人员表示，存在这个漏洞的电脑目前呈现的症状就是“上网会出现中断、拨号软件锁死、无法响应”。

　　微软公司在其安全公告网站上指出，成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新账户。微软是本月8日发布该安全漏洞及相关的补丁软件信息，并在网站上建议用户“立即应用此更新”。

DNS解析被篡改动机何在

　　前天在 qq 群接到 365.com 的一位叫 fm165 的消息，问我们 265.com 是否被人攻击了，流量都倒流到他们那里去了，仅发现当天没多久就已经有超过20万的流量过去了。

　　后经确认，除了 265.com 上网导航外，一些流量较大的网站也发生了此类现象，比如做统计的 51yes.com 还有一些做广告联盟的网站。我们厦门的同事使用厦门电信的 dns 测试 265.com 达到了1/5的出错率。dodo 的机器上使用北京网通的 dns 发生过 yok.com 解析错误。

　　此次 dns 被篡改的现象和可能有以下几种情况：

　　1、当 dns 解析过程中没有缓存而连接节点又失败时，返回默认 ip 地址，此类方式多见于搜索引擎、网络实名、通用网址、中文域名等合作项目；

　　2、根据当地法律法规和政策，某些域名和主机被禁止访问，解析过程中则得不到真正的 ip 地址，一般是返回访问不了的伪造 ip 地址；

　　3、域名运营商将过期但尚未进入删除期的域名的 dns 修改成域名停放服务或催缴费页面，早年 nsi 甚至将没注册的域名也解析到他们的网站，后来被抗议而停止了服务；

　　4、机器被木马或病毒入侵，篡改 dns 解析或修改 hosts 文件得到的效果，但这种和上面提到的不是一回事，也不是一个级别的；

　　5、某些黑客入侵了电信运营商的路由或 dns 服务器或同一网段的机器，自行修改解析配置文件或篡改网络数据包等行为，已经属于严重的网络犯罪行为；

　　6、电信运营商的员工私底下收钱，偷偷修改了 dns 配置，和第1种方法相似，但是影响范围能在这么多城市，有些不符合常理。

　　目前很难断定在哪个环节出了问题，第1种方法合作费用很高，谁会用来做损人不利已的事情？虽然说 365 是受益者，但是 365 自己没有此类合作，谁会把流量送给他们呢？也说 365 是受害者，因为像 265 这种流量过去后他们的服务器压力提升上来，从另一个角度他们应该偷着笑，为何又主动找到我们呢？第2种方法也不吻合，因为那种情况发生时，所有当地用户都无法访问，而不会只影响一小部分。第3种方法更不可能发生在流量这么大的 265 身上。第4种已经证实不是，因为在干净的机器或服务器上，使用 nslookup 查询证明确是 dns 问题而非本机问题。第5种方法倒是能有想象空间，只是能影响厦门、上海、北京等城市，看来是一个不小的僵尸网络。第6种方法也是有可能，但并不符合常理。