求大佬们帮忙看看这是什么情况(网页DNS劫持)

问题求助❓
, , ,
1

网页错误
网页错误1456×602 16.5 KB

如图,单位的电脑,edge浏览器,win10专业版系统,单位用的是电信的网络,打开百度、知乎、以及bing和百度搜索的网页很多都会跳转到这个dao.7890wan,网页如果是HTTPS,那么将前面的dao.7890wan.com删除把http改为https就可以正常打开,如果网页本身是http,那就得打开关闭很多次才能正常打开。应该是DNS劫持,但电信的人说他们的网绝对没有问题,是我们电脑的问题,但问题是我们一个局域网十几台电脑都是这种问题。请大佬分析一下这是什么问题,原因是什么,网络是从一个机房分出来好几个子局域网,每个子局域网的IP地址的网段也不一样,就我们这个网段的IP地址有问题。给领导说了,然后叫电信的人过来看了,电信的说不是他们的问题,然后就不了了之了,但我们平时工作真的很不舒服。求大佬解答,在电脑上IPV4里改DNS地址也没用,应该是路由器里DNS的问题。

2

大概率中毒.

*.7890wan 这个网站是病毒木马指向的网址.

你可以用手机连接单位网络试试, 如果还是跳转, 则是dns劫持, 按下面的办法来.

你可以跟踪路由,看一下跳转节点.

如果不会, 下载 besttrace

https://www.ipip.net/product/client.html#besttrace

用它的路由跟踪功能看一下.

3

可以出问题的环节太多了,不是ghost688那种规模的程度,水晶球很难推演,建议找人上门,三四个小时估计就能搞定。

另外改系统设置只能决定UDP53,其优先级是高于DHCP下发的,本该生效,但是不论是本机、网关、运营商机房哪里乱搞劫持都无法避免,这里应该尝试使用第三方程序接管系统DNS,比如YogaDNS或者mosdns,配合一些国内的无污染dot/doh服务(DNSCrypt项目大多数中国DNS不支持),如果劫持发生在本机的上层设备,这样可以让它无法识别哪些是DNS查询流量。

4

电脑没有中毒,手机连这个网的接口拉了根网线连路由器搞的wifi,打开网页也会很多时候跳转到这个7890wan

5

没人管,前面说过几次了,电信的技工就说是我们电脑问题,也说我们自己电脑中病毒了。我这是ZF单位,这个问题不影响使用,也没人重视,就是恶心人,跳转到这个网站,你关了,等个几分钟再打开就正常打开了,我给领导一说就让我给电信的打电话,来过几个小伙子啥也没解决,我也懒得找了。我就想知道有没有什么办法,比如我自己的电脑上装一个什么软件、怎么设置一下之类的,让在自己的电脑上规避这个问题

6

那基本排除中毒的可能性,可以判定为http劫持。

之前很多地方的网络提供商会搞http劫持,但是现在网站要求https协议,已经很难劫持了。
这种操作基本上很少见了。

不过看你描述,应该还是http劫持。

http劫持,通常都是运营商搞鬼,或者最近的机房被电信员工私自设置。

防范http劫持,从用户层面上,升级浏览器版本,开启强制https选项。

可以尽量避免这类情况。

7

a3e46ffe-1cb1-41f7-b76a-aae1ba34412b
a3e46ffe-1cb1-41f7-b76a-aae1ba34412b775×559 16.9 KB

设置里开这个试试

8

我按你说的搜索HTTP劫持,搜索到这篇文章,百分百是了。
谁动了我的宽带?记一次HTTP劫持的发现过程 - FreeBuf网络安全行业门户
中午给领导又说了,联系了电信的什么经理,说明天过来解决。我们这机房就在我们大厅三楼,去年我们淘汰了一部分云桌面换了主机,网络接口从内网换成了什么三合一的网络接口,然后就出现这个问题,云桌面用的内网接口就没这问题。去年我也说过几次,持续了大半年后面不知什么时候悄悄的改了,前几个月我们这出现网络问题,电信的在机房修了一上午,然后跳转的这个问题又出现了。

9

你单位的安全/保密条例允许你们自行安装未经审批的软件吗?可别因为这么一个小问题,别人犯了事查下来扣到你头上

如果你确认安装未经许可的第三方软件的操作是合规的,那么可以去 Releases · IrineSistiana/mosdns · GitHub 下载,然后配置文件写入

config.yaml 
log:
    level: info
plugins:
    - args:
        upstreams:
        - tag: ali
          addr: https://dns.alidns.com/dns-query
          dial_addr: 223.5.5.5
      tag: forward_Alibaba
      type: forward
    - args:
        entry: forward_Alibaba
        listen: :53
      tag: udp_server
      type: udp_server
    - args:
        entry: forward_Alibaba
        listen: :53
      tag: tcp_server
      type: tcp_server

并将本机DNS设置为本机环回地址,如127.0.0.1和::1(IPv6)。如果只有浏览器需要,那么也可以尝试在现代化的浏览器里直接将安全DNS设置为 https://dns.alidns.com/dns-query ,但在浏览器里设置有可能会因为解析dns.alidns.com时也遭到劫持而导致浏览器自动回退到传统UDP53的DNS查询,因此并不保险。

这可以帮你杜绝非本机中毒造成的DNS劫持问题。但是对于http劫持,它仍然无能为力,只能抓包后找出用于劫持的数据包的特征进行丢弃;或是加密流量,使用外部的代理服务器。请注意,加密流量或是使用外部代理服务器在未经审批的情况下是一定违法的,因为这可能会导致网络管理员无法正常审查你的流量。

另外zf有时也会参与一些网络对抗演练之类的活动吧,有些单位可以找找机会,把这件事当成一个安全漏洞来暴露出来。毕竟这个行业的特殊性,很多事不能诉诸于技术,一切要以合法合规为前提。

10

可以尝试一下freebuf文章里的解决思路,录屏+抓包取证或者让单位网关提供日志。既然你已经联系过电信公司但未能解决,可以直接工信部投诉。

12

谢谢老师的帮助,已经解决了,联系电信的什么经理后第二天他们的人又悄咪咪的改好了。估计又在机房捣鼓了一下就好了。这个问题很早了,应该是以前的技术人员在机房搞的一个小问题。但可以肯定的是,就是HTTP劫持。

13

已经解决了,投诉就不投诉了。