Saf*_*ado 3 domain-name-system hijack centos6
我在我们的托管处有两台运行 CentOS 6.0 的 Web 服务器。一个运行我们的主要营销网站(生产服务器),另一个是生产服务器的临时服务器,因此几乎是完全相同的副本。它们都在防火墙后面,并拥有私有 IP 地址。防火墙通过站点到站点 VPN 隧道连接到我们的总部。两台服务器都设置了名称服务器,以使用我们总部的内部 DNS 服务器。
在生产服务器上,我面临着完全相同的问题,甚至是 phx1-ss-2-lb.cnet.com 的相同主机名。问题是,每当我 ping 一个不存在的域名时,我都会得到 cnet.com 主机名作为回报。即使在我自己的域上,如果我执行 somestupidsubdomain.mydomain.com,它也会返回 cnet 地址。在那个帖子中,他们说这是 NXDOMAIN 劫持,他们应该使用不同的名称服务器。在我的情况下,该生产服务器与公司中的其他人使用相同的名称服务器,但这对其他人来说不是问题。即使是作为生产服务器镜像的临时服务器也没有问题。
我检查了 /etc/hosts 文件,没有任何异常。我查找了如何通过 nscd 或 bind 刷新本地 DNS 缓存,但两者都没有安装。我使用了 nslookup 并查询了我分配的两个 DNS 服务器,它们返回未找到域的错误,正如预期的那样。
我接下来应该看哪里?
编辑
我在端口 53 上使用了 tcpdump,然后 ping 了一些乱码域,这是我得到的输出
14:55:39.884442 IP 192.168.4.11.59726 > 192.168.0.22.domain: 27749+ A? asdfjjjf.com。(30) 14:55:39.905778 IP 192.168.0.22.domain > 192.168.4.11.59726: 27749 NXDomain 0/1/0 (103) 14:55:39.905930 IP27.816.16.16.19.26 + 一个?asdfjjjf.com.com。(34) 14:55:39.926982 IP 192.168.0.22.domain > 192.168.4.11.46752: 18476 2/0/0 CNAME phx1-ss-2-lb.cnet.com., A 624.212.2
14:55:39.962067 IP 192.168.4.11.44686 > 192.168.0.22.domain:5275+ PTR?112.224.30.64.in-addr.arpa。(44)
14:55:39.983324 IP 192.168.0.22.domain > 192.168.4.11.44686:5275 1/0/0 PTR phx1-ss-2-lb.cnet.com。(79)
因此,如果我没看错,这是否意味着我的 DNS 服务器肯定会使用 cnet.com 地址进行响应?如果我使用 nslookup,将它设置为 192.168.0.22 服务器,并查询一个乱码域 A 记录,它返回什么都没有。
啊哈!你有一个搜索后缀com-你的第一个查询,以asdfjjjf.com获得正确的NXDOMAIN,而第二个asdfjjjf.com.com与什么明显通配符准确的信息回来CNAME的*.com.com。去掉那个搜索后缀,你应该没问题。