全球主机交流论坛

标题: 来谈谈那些狗日的是怎么污染你域名的? [打印本页]
作者: hateme99    时间: 2021-10-27 21:59
标题: 来谈谈那些狗日的是怎么污染你域名的?
年初的时候,被墙。TG上和某位大神聊天的时候,对方发给我污染的方法,我还没看完,他就撤回了。。。
我说说大概意思,就是国外服务器绑定你域名,国内客户端改hosts大量访问,不管什么手段,GET也好 POST也行,只要返回的内容是高墙不想让你看的,就会被墙。

手上有资源的MJJ可以试试。。。我估计不可能是一台客户端就能完成的。。。。
有其他法法的来聊聊,这个攻击方法最好人人都会,到那时高墙才可能会封这样的漏洞。
那些说是投诉举报的,感觉不靠谱。。
作者: cherbim    时间: 2021-10-27 22:01
提示: 作者被禁止或删除 内容自动屏蔽
作者: optimism    时间: 2021-10-27 22:01
帮顶                        
作者: shuke    时间: 2021-10-27 22:02
所以什么是墙不想让我看到的,为了让墙能看到是不是不能开tls
作者: acpp    时间: 2021-10-27 22:02
假墙攻击 但如果域名绑定IP墙内,最后就是被墙也只是影响国外访客。
作者: IT狗    时间: 2021-10-27 22:04
提示: 作者被禁止或删除 内容自动屏蔽
作者: gyjys43043    时间: 2021-10-27 22:04
高墙是不会考虑解决这个问题的,他们要的就是这种断断续续的访问体验,这样会促进内循环。至于那些常用的知名网站,都在白名单里面,所以怎么攻击都无效
作者: hateme99    时间: 2021-10-27 22:05
shuke 发表于 2021-10-27 22:02
所以什么是墙不想让我看到的,为了让墙能看到是不是不能开tls

墙压根就不做验证,它只看墙内在看什么
作者: hateme99    时间: 2021-10-27 22:07
acpp 发表于 2021-10-27 22:02
假墙攻击 但如果域名绑定IP墙内,最后就是被墙也只是影响国外访客。

假墙只是墙ip,ip是国内就不墙
作者: 疯狂痴呆    时间: 2021-10-27 22:09
污染域名的,见过正规站,有北岸且用大陆服务器的

解析照样被污染
作者: G.K.D    时间: 2021-10-27 22:09
本帖最后由 G.K.D 于 2021-10-27 22:14 编辑
shuke 发表于 2021-10-27 22:02
所以什么是墙不想让我看到的,为了让墙能看到是不是不能开tls


当然不能用 HTTPS 啦,需要明文的内容才行(因此也避免了申请证书的问题)。

这些人国内搞了大量服务器(或肉鸡?)来作为访客。
不过假墙攻击需要一直持续才行(隔一段时间搞一下),否则过段时间就解封了。
因为是在出口处 TCP 劫持网页用的 80/443 端口,所以也只针对国外网站。
作者: hateme99    时间: 2021-10-27 22:13
G.K.D 发表于 2021-10-27 22:09
当然不能用 HTTPS 啦。

这些人国内搞了大量服务器(或肉鸡?)来作为访客。

你的意思是因为https 墙就抓不到内容,先墙了再说?那都用http就能预防?
作者: G.K.D    时间: 2021-10-27 22:15
hateme99 发表于 2021-10-27 22:13
你的意思是因为https 墙就抓不到内容,先墙了再说?那都用http就能预防?

我怎么无法理解你说的话。。。

你说的和我写的牛头不对马嘴的。。。
作者: hateme99    时间: 2021-10-27 22:16
G.K.D 发表于 2021-10-27 22:15
我怎么无法理解你说的话。。。

你说的和我写的牛头不对马嘴的。。。

你说不能用https,我的意思是不用https能避免被墙?
作者: fule    时间: 2021-10-27 22:18
疯狂痴呆 发表于 2021-10-27 22:09
污染域名的,见过正规站,有北岸且用大陆服务器的

解析照样被污染

擦,国内北岸且用大陆服务器都会被污染了啊



作者: 爱发卡    时间: 2021-10-27 22:19
提示: 作者被禁止或删除 内容自动屏蔽
作者: G.K.D    时间: 2021-10-27 22:21
hateme99 发表于 2021-10-27 22:16
你说不能用https,我的意思是不用https能避免被墙?

我说是这些操作为了让蔷看到内容,不能用 HTTPS。
你是怎么做到理解的和我说的完全相反的。。。
作者: citywar    时间: 2021-10-27 22:21

这样玩下去,一团乌烟瘴气
作者: hateme99    时间: 2021-10-27 22:25
G.K.D 发表于 2021-10-27 22:21
我说是这些操作为了让蔷看到内容,不能用 HTTPS。
你是怎么做到理解的和我说的完全相反的。。。 ...

额 明白了
作者: G.K.D    时间: 2021-10-27 22:31
爱发卡 发表于 2021-10-27 22:19
你的米,怎么会解析到别人的服务器上呢


海外服务器上面创建 这个域名 的虚拟主机,里面放一些敏感内容的 html 网页文件。
然后国内大量服务器去主动访问 这个域名 下的敏感内容的网页(使用明文的 HTTP)。
访问多了,因为是明文,蔷就会检测到关键词,然后自动触发机制对该 IP TCP 劫持(即假墙)。

连 Hosts 都不需要写,curl 能直接指定域名的 IP 去访问(不再通过 DNS 解析获取 IP 了)。例如:
  1. curl --resolve 域名:80:IP http://域名/1.html
复制代码
这样访问的域名走的是你指定的 IP 而不是域名真实解析的 IP。
而蔷是不会管这个 IP 是不是该网站真正的 IP,因为该假墙机制都是自动化的,因此才会被这么简单的利用。
作者: ouou8    时间: 2021-10-27 22:33
G.K.D 发表于 2021-10-27 22:21
我说是这些操作为了让蔷看到内容,不能用 HTTPS。
你是怎么做到理解的和我说的完全相反的。。。 ...

如果真是这样,那启用了那个什么 HSTS 就可以减少你这种说法导致被墙或污染。
启用了 HSTS,那么他想墙你,就得用不支持HSTS的浏览器来搞你。

不过我好奇,这得动用多少客户端才能办到? 总不会那么几个客户端就能办吧,如果这么简单那就是想搞谁就搞谁了。

假设楼主的说法成立,是通过这样的手段搞你。
猜测,墙会根据你的流量达到一定程度才会动手。那么搞你的人就需要比较多的客户端了,这个客户端哪里来?
全国各地购买vps服务器?或者 肉鸡? 那付出的成本也不小啊
作者: ouou8    时间: 2021-10-27 22:34
citywar 发表于 2021-10-27 22:21
这样玩下去,一团乌烟瘴气

内卷的意思吗?
作者: G.K.D    时间: 2021-10-27 22:37
本帖最后由 G.K.D 于 2021-10-27 22:38 编辑
ouou8 发表于 2021-10-27 22:33
如果真是这样,那启用了那个什么 HSTS 就可以减少你这种说法导致被墙或污染。
启用了 HSTS,那么他想墙你 ...


为什么要用浏览器?
直接用更简单、方便、强大的命令行工具,比如 curl 就行了呀。
用 curl 的话,连 Hosts 都不用改,直接就能指定域名的 IP 去访问该网页。

具体你看我前面刚才回复别人的内容。
作者: ouou8    时间: 2021-10-27 22:41
爱发卡 发表于 2021-10-27 22:19
你的米,怎么会解析到别人的服务器上呢

楼主说了host

不过,这样就得手上拥有一定数量的客户端

但我猜测,楼主说的不一定对。但是应该是有类似的方法,之前就有mjj 说了,那些人能把你的域名 弄个二级域名或者 其他目录,做个敏感的内容让搜索引擎收录。 这一步 目前我怎么都想不到是如何实现的(当然你站被黑的情况不算,我说是你的站在完全安全没有漏洞,没有服务器漏洞的情况下,他们实现的)。
这才是真正厉害的地方,真正能做到想墙谁就墙谁,除非你在墙的白名单内。

不管怎么host,搜索引擎必须通过网络才能发现你的内容。但是这时对于搜索引擎来说,它本身没有host你,就是无法打开你这个目录或者二级域名。

作者: 爱发卡    时间: 2021-10-27 22:44
提示: 作者被禁止或删除 内容自动屏蔽
作者: G.K.D    时间: 2021-10-27 22:52
gyjys43043 发表于 2021-10-27 22:04
高墙是不会考虑解决这个问题的,他们要的就是这种断断续续的访问体验,这样会促进内循环。至于那些常用的知 ...

没错,蔷的工作人员应该早就知道这个问题了,但是它们没必要去修复该问题。
因为蔷明显只会去保护国内合法的网站,任何没有在国内北岸的网站都可以说其不合法,没有保护的必要,除非该机制会影响到国内的网站,否则蔷只会看这些人之间内斗~

有点养蛊的味道~ 反正无论怎么搞,受益的都是蔷。

至于说攻击国外知名网站,然而国外的知名网站要么早就被蔷了,要么就主动搞了个国内版域名/网站(访问国际版强制跳转至国内版,比如微软的 Bing 必应搜索),剩下的那些即使被假墙了也没什么大的影响。
作者: ouou8    时间: 2021-10-27 22:55
G.K.D 发表于 2021-10-27 22:31
海外服务器上面创建 这个域名 的虚拟主机,里面放一些敏感内容的 html 网页文件。
然后国内大量服务器去 ...

按照你这样的方法,确实是有这个危险,不过应该需要不少客户端持续地访问这些假地址,让墙识别。我猜测墙需要一定访问量才会被促发机制干了这个域名。

不过,大佬你看我24 楼的回复,估计这种方式才是厉害的,做到这样估计是想墙谁就墙谁了。

就是制造的那些敏感内容,让搜索引擎收录,或者说没必要能让它收录,反正能让搜索引擎访问到即可。
确实有案例是收录了。好奇搜索引擎怎么能爬行得到这些内容。
作者: G.K.D    时间: 2021-10-27 23:00
ouou8 发表于 2021-10-27 22:55
按照你这样的方法,确实是有这个危险,不过应该需要不少客户端持续地访问这些假地址,让墙识别。我猜测墙 ...

肉鸡而已,这个对于一些人来说还是好搞的。
其次可以使用国内的代里呀(那些 HTTP/HTTPS/SOCKS5 代里,随便搜一下很多),有免费的也有付费的,这样一台国内服务器配上大量国内代里 IP,就能实现一样的效果了。

你那个我看到了,但是把我看傻了,绕着一圈子图啥呢?
我都不知道该从哪里吐槽了。。。
作者: davidsky2012    时间: 2021-10-27 23:07
据我所知,至少需要几千个IP才行。除了这种方法,还有攻击IP的,就是本地改hosts(或利用curl的--resolve),将某些被Q域名指向你的IP,一直访问,超过了某个阈值就会触发全网RST或阻断。
作者: ouou8    时间: 2021-10-27 23:08
本帖最后由 ouou8 于 2021-10-27 23:10 编辑
G.K.D 发表于 2021-10-27 23:00
肉鸡而已,这个对于一些人来说还是好搞的。
其次可以使用国内的代里呀(那些 HTTP/HTTPS/SOCKS5 代里,随 ...


图的好处在这里。
这样就可以不用肉鸡了,也不用代理了。省了一笔费用。

既然能做到把内容提交给搜索引擎,那就能直接 能把你敏感内容提交给墙,墙能直接获得这些内容,来个彻底的污染。
省事,方便,更省钱。

并且国内ip的正规站也可以搞了。
作者: G.K.D    时间: 2021-10-27 23:09
爱发卡 发表于 2021-10-27 22:44
搞的英文站,它墙不墙,都没兴趣研究,大不了换个米,数据只要还在,米换个随时就行

还有这么做的人,得 ...

不是无聊,都是有利可图的,而且已经形成产业链了。

这些人会去找国外网站,要求它们添加指定 颜色、菠才 的广告(当然不会给钱啦),不接受就假墙攻击。
被假墙了,那些站长就会想办法去解决,然后又有人出来说可以清洗解除假墙,但是要给钱啦~

最后很多站长选择了套 Cloudflare CDN,轮询 IP 来对抗假墙,结果就是大量 Cloudflare CDN 的 IP 被假墙了,虽然很快就会解封,但是也影响了不少正常使用 Cloudflare 的网站。。。
作者: G.K.D    时间: 2021-10-27 23:11
ouou8 发表于 2021-10-27 23:08
图的好处在这里。
这样就可以不用肉鸡了,也不用代理了。省了一笔费用。

无力吐槽,溜了~。。。
作者: 欧阳逍遥    时间: 2021-10-27 23:14
攻击手法太多了,最近又出现了新的敲诈手段  应该是攻击 isp dns 或者dns投毒,直接让域名解析返回 0.0.0 0
作者: trips    时间: 2021-10-27 23:15
欧阳逍遥 发表于 2021-10-27 23:14
攻击手法太多了,最近又出现了新的敲诈手段  应该是攻击 isp dns 或者dns投毒,直接让域名解析返回 0.0.0 0 ...


这个是真的更骚了~还有指向127.0.0.1的.真的是一群妖怪...
作者: 张大牛    时间: 2021-10-27 23:16
davidsky2012 发表于 2021-10-27 23:07
据我所知,至少需要几千个IP才行。除了这种方法,还有攻击IP的,就是本地改hosts(或利用curl的--resolve) ...

至少需要几千个IP才行

几百个ip每天都访问,时间长了是不是一样的效果
作者: 欧阳逍遥    时间: 2021-10-27 23:18
trips 发表于 2021-10-27 23:15
这个是真的更骚了~还有指向127.0.0.1的.真的是一群妖怪...

127  是第三方平台显示问题,就是攻击了各地isp的默认dns服务器, 不过这种攻击 不影响蜘蛛抓取,301新域名就行了
作者: trips    时间: 2021-10-27 23:19
老哥如果按照你这说的.返回的是高墙希望看到的内容.那就是发送了一些特俗词.然后走搜索功能.比如去小说或者电影.搜索法XX 然后返回的页面肯定带了.你找的法XX不存在...
作者: 欧阳逍遥    时间: 2021-10-27 23:19
davidsky2012 发表于 2021-10-27 23:07
据我所知,至少需要几千个IP才行。除了这种方法,还有攻击IP的,就是本地改hosts(或利用curl的--resolve) ...

我见过 一个页面 嵌入n个网站 刷违禁词的 简直就是狗都能来敲诈你
作者: trips    时间: 2021-10-27 23:25
欧阳逍遥 发表于 2021-10-27 23:18
127  是第三方平台显示问题,就是攻击了各地isp的默认dns服务器, 不过这种攻击 不影响蜘蛛抓取,301新域 ...

他们这样的攻击省级dns的管理人员不会发现吗..进化到影响了其他人的正常使用的话就好了.到时候上头出手搞死他们
作者: 怪人    时间: 2021-10-27 23:38
我也被感染一个
作者: davidsky2012    时间: 2021-10-27 23:40
张大牛 发表于 2021-10-27 23:16
至少需要几千个IP才行

几百个ip每天都访问,时间长了是不是一样的效果 ...

如果是攻击IP的话是无效的,单位时间内的RST数量没有到达阈值,不会触发全网封锁。不过如果是域名的话不好说,没测试过,有测试过的人可以来说下。
作者: davidsky2012    时间: 2021-10-27 23:41
欧阳逍遥 发表于 2021-10-27 23:19
我见过 一个页面 嵌入n个网站 刷违禁词的 简直就是狗都能来敲诈你

这种其实还好,HSTS的话能抗一下,TLS就看不到违禁词了。
作者: davidsky2012    时间: 2021-10-27 23:43
另外,还有人利用区域DNS的BIND9漏洞来实施ISP级的DNS劫持。虽然BIND修复了漏洞,但也只能缓解漏洞的利用,无法完全阻止漏洞的利用。原理见: https://zhuanlan.zhihu.com/p/92899876
作者: 张大牛    时间: 2021-10-27 23:56
davidsky2012 发表于 2021-10-27 23:41
这种其实还好,HSTS的话能抗一下,TLS就看不到违禁词了。

最好别上hsts,http的话只会TCP reset 国内301还有救,上hsts后会dns污染,彻底废了

亲身经历
作者: davidsky2012    时间: 2021-10-28 00:03
张大牛 发表于 2021-10-27 23:56
最好别上hsts,http的话只会TCP reset 国内301还有救,上hsts后会dns污染,彻底废了

亲身经历 ...

攻击团队能直接废了你的域名,见我43楼回答,甚至都不需要像楼主说的那样操作。

不过不上HSTS也有办法缓解的,得等我后续的文章更新了。。
作者: davidsky2012    时间: 2021-10-28 00:23
欧阳逍遥 发表于 2021-10-27 23:14
攻击手法太多了,最近又出现了新的敲诈手段  应该是攻击 isp dns 或者dns投毒,直接让域名解析返回 0.0.0 0 ...


是的,我43楼的回复就是攻击ISP DNS的方法,可以自行修改ISP的区域DNS服务器中任何域名的IP,然后将过期时间设置得很长。虽然这个漏洞现在比几年前更难利用了,但时间一长总能攻击成功。

不过现在也有一些污染清洗服务,利用同样的原理,将IP换回来。不过这种手段不管是攻击还是清洗,成本都挺高。
作者: ZhènJīngBù    时间: 2021-10-28 00:26
提示: 作者被禁止或删除 内容自动屏蔽
作者: 机长    时间: 2021-10-28 00:58
G.K.D 发表于 2021-10-27 22:31
海外服务器上面创建 这个域名 的虚拟主机,里面放一些敏感内容的 html 网页文件。
然后国内大量服务器去 ...

这个就是查被墙域名的原理吧
作者: By小酷    时间: 2021-10-28 01:01
ZhènJīngBù 发表于 2021-10-28 00:26
别人怎么解析你域名?

别人不需要解析你的域名,人家是直接拿你的域名故意撞墙,就同楼上说的使用host直接随意指向国外 ip,即可产生撞墙效果,虽然你的解析并没有指向,但是别人可以用你的域名去故意跟墙说,而不是你能控制的
作者: By小酷    时间: 2021-10-28 01:04
davidsky2012 发表于 2021-10-27 23:41
这种其实还好,HSTS的话能抗一下,TLS就看不到违禁词了。

没用的,你以为hsts是什么,那是参加了hsts的浏览器才会支持的东西,不参加的根本不理会hsts标记,而且,撞墙攻击根本不会使用你的ns,人家也不用你的ip,你的服务器,而且根本就不走你的服务,完全的虚空索敌,直接硬撞墙,你有办法吗?你根本没用办法
作者: davidsky2012    时间: 2021-10-28 01:05
By小酷 发表于 2021-10-28 01:04
没用的,你以为hsts是什么,那是参加了hsts的浏览器才会支持的东西,不参加的根本不理会hsts标记,而且, ...

原帖说的是在一个页面中内嵌几十个iframe,就是利用普通用户的浏览器来攻击的。所以我才说可以利用hsts。
作者: hateme99    时间: 2021-10-28 11:39
trips 发表于 2021-10-27 23:19
老哥如果按照你这说的.返回的是高墙希望看到的内容.那就是发送了一些特俗词.然后走搜索功能.比如去小说或者 ...

不停搜索人家有防御机制,而且基本都https了。最好就是不走它服务器
作者: hins    时间: 2021-10-28 13:37
这些人确实厉害 最近还会搞污染了
作者: trips    时间: 2021-10-28 14:16
hateme99 发表于 2021-10-28 11:39
不停搜索人家有防御机制,而且基本都https了。最好就是不走它服务器

一朋友今天被污染了.开启了搜索验证码.还是不行.他们机器人提交数据必须验证码的也是被污染..
作者: fhsa    时间: 2021-10-28 15:13
ouou8 发表于 2021-10-27 22:33
如果真是这样,那启用了那个什么 HSTS 就可以减少你这种说法导致被墙或污染。
启用了 HSTS,那么他想墙你 ...

hsts是浏览器内置的,你想想如果要做的话会开1000台电脑都用chrome干这事吗,这种攻击用curl,request啥的不会内置hsts默认启用https的
作者: davidsky2012    时间: 2021-10-28 15:17
fhsa 发表于 2021-10-28 15:13
hsts是浏览器内置的,你想想如果要做的话会开1000台电脑都用chrome干这事吗,这种攻击用curl,request啥 ...

没错。除非用iframe借刀杀人(一个页面嵌入几十个iframe,用访客浏览器来攻击),否则hsts没用。



欢迎光临 全球主机交流论坛 (https://loc.imgfree.eu.org/) Powered by Discuz! X3.4