V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mikewang
V2EX  ›  宽带症候群

如果我的 IP 地址不幸泄漏,他人是否能通过域名解析封停我的宽带?

  •  1
     
  •   mikewang · 282 天前 · 4631 次点击
    这是一个创建于 282 天前的主题,其中的信息可能已经有所发展或是发生改变。

    看到了 联通要给停网 [/t/940596] 一贴有感。

    联通给出的《关于涉嫌 PCDN 违规经营整改告知函》明确指出:

    2 、未备案网站域名与 IP 地址的解析关系,涉嫌违反《互联网信息服务管理办法》...

    也就是说,运营商认为,DDNS 是禁止的

    我猜测联通检测出 DDNS 的原理,可能在于自家的 DNS 服务器解析到了家庭宽带 IP ,就被记录了,然后发函。

    如果这一点被恶意者利用:

    1. 恶意者定位到受害者 IP 地址,将自己的域名绑定上去;
    2. 使用受害者运营商 DNS ,解析自己的域名,触发运营商告警;
    3. 此时受害者被发函,由于域名不属于受害者无法解除,受害者宽带被封停。

    如果遇到这么个事,怎么解?

    第 1 条附言  ·  282 天前
    大家看着笑笑就完事了,不要当真。
    我是觉得联通的函告有很大问题。因为函告本身比较离谱,所以我也在此基础上推测了这么一个很离谱的可能性(显然不合理的)。

    可能会有人觉得我较真,但是万一这种荒唐事真的发生了,就没那么好玩咯。
    27 条回复    2023-05-19 01:49:17 +08:00
    fat00119
        1
    fat00119  
       282 天前 via Android
    主要应该还是 pcdn 的原因
    pcbl
        2
    pcbl  
       282 天前 via Android
    搞错因果关系了,是运营商发现了家宽提供了基于 http/https 的 web 服务才会发出警告。

    利用家宽搞 web 服务的大多数都会使用 ddns 来及时更新 ip
    vsean
        3
    vsean  
       282 天前
    只解析没有用的,是解析了并且可以访问,才会被封
    mikewang
        4
    mikewang  
    OP
       282 天前
    #2 #3 @pcbl @vsean
    告知函里没有提到 Web 服务,只说了域名解析相关的问题,就根据函文的内容分析了一下。

    如果仅限于 Web ,扫到了对方的 Web 端口,绑上自己的域名去请求,大概也会是这个结果吧。
    snw
        5
    snw  
       282 天前 via Android
    你不对外提供“互联网信息服务”,就算别人域名指向你,ISP 也不会来找你麻烦。
    Web 是常见的互联网信息服务之一,所以避免方法是家宽别开 web 服务
    pcbl
        6
    pcbl  
       282 天前 via Android
    @mikewang 你还是每搞清楚重点。派出所还有营业厅的人不懂这些具体的细节,想当初我去派出所喝茶还是我帮他们写的自己到为什么会被叫去喝茶😂
    kagemamo1111
        7
    kagemamo1111  
       282 天前
    这个说的很明确,用户的公网 ip 只是拥有“使用权”,真正的拥有者是联通。所以 ddns 构成“解析指向他人的 IP 地址”。但这里有个“恶意”一词,如果是违规假设网站,就属于“恶意”(滥用联通宽带)。
    当然,这个是联通认定的解释,这种解释有点口袋罪了。例如如果只是开了 nas 登录页面为少数人服务,不应属于“恶意”。如果现在还有法治的话,联通这种解释在法律上根本站不住脚。
    crab
        8
    crab  
       282 天前
    倒数第 5 行不是已经说明了吗?
    dcsuibian
        9
    dcsuibian  
       282 天前   ❤️ 1
    1 、国内谁设置的解析不是很容易查吧,肯定优先查设置的人啊
    2 、就算解析到了你,你不对外提供公共服务也没人管你
    3 、你一个动态公网地址,重启下路由器可能就变了,不连你家 wifi 怎么追踪你的地址
    4 、有很多用户根本拿不到公网 ip ,这种攻击对他们是无效的
    dianso
        10
    dianso  
       282 天前
    可以的

    直接黑进你系统
    ltkun
        11
    ltkun  
       282 天前 via Android
    我最近 http 或者 https 随便开哪个端口都不行 其他协议倒是 OK
    rrfeng
        12
    rrfeng  
       282 天前 via Android
    嘿,你别说真的有这种情况。但不是家宽是阿里云…

    阿里云的备案检测如果发现有未备案的域名访问,会在很多入口直接封禁,甚至影响一些纯内网场景。
    Carlos920
        13
    Carlos920  
       282 天前
    可以,我们公司的一个 IP 地址就被别人绑定域名解析了,然后被运营商警告,让把那个不是我们公司的域名解析删掉,不然就封停,我们都一脸懵逼。
    deorth
        14
    deorth  
       282 天前 via Android
    根本不用泄漏,手里有国外域名的大佬(不怕被查水表),随机生成子域名,找个家宽 ip 段解析上去。写个脚本几分钟的事。
    问题是没有配置反查,运营商是怎么知道你这个 ip 上有域名解析呢?还不是进来有 sni 或者 http 明文 host 。再不然就是国内域名提供商给了相应的接口给了运营商。你只用来跑非 http/tls 协议的服务,吊事没有。只要协议里没有明文的域名信息就行
    opengps
        15
    opengps  
       282 天前
    解析了不是重点,重点是你有端口开着而且确实是 web 服务,这个连接才能建立。检测的过程主要就是在你建立连接时候进行的
    cheitu
        16
    cheitu  
       282 天前
    我遇到过一次比这个更危险的情况。某诈骗网站域名解析了 5 个 IP ,然后其中一个 IP 居然是我的服务器,我猜测应该这个 IP 之前是被他购买使用了,后面释放了没改解析。结果我收到了阿里云警告,这时候我根本解释不清楚这个网站不是我的,只说这个 IP 我也是刚刚买到。当时想想挺后怕,假设是执法机构不太懂,然后就认定是你的,都不知道怎么解释。
    详细解释下:对方网站解析了 5 个 IP ,访问的时候,如果对应跳转我的 IP ,是打不开的,但是剩下情况都能打开,阿里云应该收到举报说这个是诈骗网站,要求处理。然后去查域名解析记录,发现我的 IP 在里面,他就认为网站是我的,但是实际对应我 IP 这条解析是无效的,他们自己根本不会去深入研究。当时我跟他们工程师也扯了很久。
    loolac
        17
    loolac  
       282 天前
    @deorth 宽带服务商都有自己的 dns 服务器,一旦有自家的 IP 地址被域名绑定了,应该可以直接监控到的。
    Devilker
        18
    Devilker  
       282 天前
    单向不会,双向解析才会。
    krixaar
        19
    krixaar  
       282 天前
    这么说吧,因为没人有这个人力和算力去每天过滤用户的上网日志和探测全网家宽的端口,而 80/443 这样的应该本身就是屏蔽着的(不屏蔽也得给个警告页面之类的),所以被检测到基本上都是上传量太大了或者确实开网站被举报了,然后再单个去核实最后去关的,那个 OP 估计就是上传量太大然后刚好有 http 挂着被找 PCDN 的理由去的。
    实际上,打个比方你整天挂 pt/bt ,上传量特别大但是没有 PCDN 这种情况,那其实真的就没啥理由去关,因为用户花钱买的就是这些带宽,除非入网时候协议里写了到多少流量限速关闭之类,但一般宽带不会有这种条款。
    总结一下,就是理论上按条款确实可以去封你,实际上你得干了啥事被关注到才行。
    maybeonly
        20
    maybeonly  
       282 天前
    国内家宽还能双向解析的?机房双向解析都一堆事儿……
    按理说,单纯解析肯定没事
    就算有 web 服务,如果对不认识的域名返回 403 或者 404 也没事
    至于常见的路由器、nas 登录页有没有事,看人家心情
    tulongtou
        21
    tulongtou  
       282 天前
    @mikewang 告知函里不说了,因为 CDN 业务么,你自己解析没人管的,非要做 cdn 那就是往枪口上撞
    1343EFF
        22
    1343EFF  
       282 天前
    目前挂着 cloudflare 做强制代理,不允许 ip+80 端口直接访问,cloudflare 应该不会泄露解析记录吧……瑟瑟发抖
    Dkngit
        23
    Dkngit  
       282 天前
    @1343EFF
    我记得 cloudflare 的反代只支持 80 和 443 端口,这俩端口家宽都是禁用了的。
    不理解你怎么实现的
    1343EFF
        24
    1343EFF  
       282 天前
    @Dkngit 我的家宽这两个端口都开着 所以怕哪天突然挂了
    systemcall
        25
    systemcall  
       282 天前 via Android
    我只知道有种打别人的服务器的方式,就是用 Facebook 等网站的 host 来建立连接,以前的时候很容易就可以把别人的 IP 给打下来
    其实根本就不需要动解析,对任意一个 http 监听端口发送一个带特定 host 的信息就可以了。有回应,哪怕是 403 、404 甚至 500 ,都可以直接把你的服务器给干掉
    也许“境外势力”可以这样把国内的宽带搞瘫痪吧
    ppbaozi
        26
    ppbaozi  
       282 天前
    我杭州电信高峰期每天对外提供几万 uv 的 https 服务屁事没有
    yinmin
        27
    yinmin  
       281 天前 via iPhone
    家宽是动态 ip ,光猫重启一下即可
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   2718 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 13:52 · PVG 21:52 · LAX 05:52 · JFK 08:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.