同IP虛擬主機不同網域做301跳轉會傳染DNS緩存污染、DNS遞歸解析汙染、DNS劫持嗎?

dns 域名跳轉

Amy 2021-05-06 11:13:48 ‧ 1775 瀏覽

分享至

如標題，我網站虛擬主機在香港,上面掛有25個網域,目前發現有1個A網域受到DNS遞歸解析污染,而且似乎被中國GFW屏蔽,
但因為這個A網域本身有些流量不想浪費,因此想做301跳轉到同IP虛擬主機的B網域,等於用戶瀏覽A網域網站會自動跳轉到B網域,讓B網域繼承A網域流量,這樣B網域會傳染到DNS緩存污染、DNS遞歸解析汙染、DNS劫持嗎?

看更多先前的討論...收起先前的討論...

mathewkl iT邦高手 1 級 ‧ 2021-05-06 11:27:46 檢舉

Client被DNS汙染和被牆無能為力，只能掛VPN還有非中國DNS避開
應該是讓他們進入沒事的網域然後導去A網域上的服務
網域被汙染或被牆只能祈禱哪天中國開心解除了，不過不要期待

Amy iT邦新手 4 級 ‧ 2021-05-06 13:55:52 檢舉

應該是讓他們進入沒事的網域然後導去A網域上的服務==>這樣感覺要位在中國的Client端自行設定非中國的DNS或裝非中國的DNS的VPN?
我是有找到這個VPN的APP,是Cloudflare的VPN
https://1.1.1.1/zh-Hant/dns/
因為我網域被DNS汙染是網站正常運作一段時間後,就突然不能瀏覽,查證後網站確實被DNS汙染
不知道這個VPN的APP,中國Client端是否能使用?

ks1217 iT邦研究生 1 級 ‧ 2021-05-07 12:10:30 檢舉

就像是郵局(root DNS)把你家(domain name)登記為A地址 (IP),所有要連到你們網站的都會得到回覆為 A地址, 而不是你真實的地址(IP),因為郵局是中國開的, 除非客戶使用IP去連. 或是請客戶把DNS改用Google的DNS 8.8.8.8

Amy iT邦新手 4 級 ‧ 2021-05-07 13:56:50 檢舉

IP不可能,因為有許多網域共用同一台虛擬主機(IP),
就算一網域只用一台虛擬主機好了,用戶打IP進我網站對SEO幾乎沒幫助...
然後也無法讓用戶自行設定DNS或裝VPN,用戶的資訊能力不怎麼好,
只是我覺得奇怪,為何網域一開始好好的,結果過一段時間後會突然被DNS汙染?
是哪個環節出了問題?
我這邊無法控制用戶設定哪個DNS

Amy iT邦新手 4 級 ‧ 2021-05-07 13:57:43 檢舉

ToKs1217：你說的root DNS是中國的GFW嗎?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

Ray

iT邦大神 1 級 ‧ 2021-05-06 12:07:05

單純從技術觀點來說, 30x 轉址跟 DNS 污染是兩回事, 沒有關聯...

但你的屏蔽來源如果是對岸的 GFW, 人家 GFW 可不會按照國際規範走; 如果當初他擋你的原因, 是因為內容違反它們政策的話, 那你的 IP/網址不管改到哪裡去, 他們都會依照你的內容, 來決定要不要屏蔽掉....

所以你光用 IP/轉址去躲是沒用的, 對方不是用這個來判斷, 他看的是:內容

另外提醒一下, 如果已經被 DNS 汙染了, 你要怎麼做 301 轉址? 他根本就不會碰到妳原本正常 DNS 的網站了, 你無法將 http 301 指令送達 Client 端....

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

Amy iT邦新手 4 級 ‧ 2021-05-06 14:21:52 檢舉

是沒關聯,但因為做SEO注重流量,才會想用301轉址,
301轉址我通常是用.htaccess設定
我實務上沒做過污染的A網域跳轉到未汙染的B網域,
只是覺得"理論"上應該可行

Ray iT邦大神 1 級 ‧ 2021-05-06 23:05:20 檢舉

你的 301 轉址是放在原始的 A 網站, 但 DNS 污染已經將域名指向 A' 網站, 不是你原來的 A 網站;

所以 Client 端瀏覽器, 經過 DNS 解析之後, 永遠讀不到你 A 網站裡面寫的 .htaccess 轉址設定, 他只會去讀 A' 網站....

也就是: 你的 A 網站 .htaccess 內容永遠也送不到 Client 端去, 他就直接去看 A' 網站了...

Amy iT邦新手 4 級 ‧ 2021-05-07 10:37:02 檢舉

了解!受教了
這個.htaccess方式是網站用Apache架設的
那如果換成Linux的Nginx架設網站,設定nginx.conf檔案的話
這樣A網站nginx.conf內容送的到Client端去嗎?

Amy iT邦新手 4 級 ‧ 2021-05-07 10:37:40 檢舉

nginx.conf檔案一樣設定301轉址

Ray iT邦大神 1 級 ‧ 2021-05-07 11:42:05 檢舉

一樣結果...

DNS 汙染之後, Client 端就摸不到你的伺服器了, 當然也讀不到任何由你伺服器送出來的指令....不管你是用 .htaccess, 或是 Nginx, 他都讀不到...

Amy iT邦新手 4 級 ‧ 2021-05-07 13:59:57 檢舉

謝謝回覆!Get新knowhow!
結論就是：只要發生DNS汙染,根本無法做301轉址

登入發表回應

mathewkl

iT邦高手 1 級 ‧ 2021-05-07 16:00:33

Client > DNS查詢 > 網路長城(跨到國外時) > 主機DNS > 主機服務
DNS汙染就是在DNS查詢時直接給予無效結果
request送不到主機，主機自然無法丟轉址給Client

被長城牆起來就是發現網域或IP是屏蔽目標就會無法連線

概念大概是這樣?

可以直接改DNS嘗試繞過汙染，但畢竟還是要通過中國境內節點，還是會高機率失敗
最優解就是開VPN加密封包繞過網路長城偵測

但是在網路嚴禁期(比如64或人民大會期間)
網路長城有過先例針對無法解析的封包直接丟棄，導致大量VPN失效

服務提供商能做的只能另外準備正常的連線目標提供給中國用戶使用而不不需要用戶準備VPN
或者直接將服務架在中國境內雲端機房專供中國用戶

回應 9
分享
檢舉

看更多先前的回應...收起先前的回應...

Amy iT邦新手 4 級 ‧ 2021-05-10 11:49:31 檢舉

感謝回覆,
最優解就是開VPN加密封包繞過網路長城偵測-->這點我有想過,方法不外乎是請用戶設定我指定的DNS或者裝VPN
服務提供商能做的只能另外準備正常的連線目標提供給中國用戶使用-->這點可以如何達成?
直接將服務架在中國境內雲端機房專供中國用戶-->這部分我問過某雲的客服工程師,他說還是有可能會被汙染

mathewkl iT邦高手 1 級 ‧ 2021-05-10 16:06:31 檢舉

準備沒被中國汙染或封鎖的IP和網域就行了，又被封鎖就一直換直到公司決定放棄服務中國

Amy iT邦新手 4 級 ‧ 2021-05-10 17:02:35 檢舉

準備沒被中國汙染或封鎖的IP和網域-->這個可以如何查詢@@?

mathewkl iT邦高手 1 級 ‧ 2021-05-10 17:14:01 檢舉

就利用你上一個發問查詢是否被長城封鎖的檢查工具網站
把主機服務商新給的IP和網域輸入檢查工具網站進去查詢

Amy iT邦新手 4 級 ‧ 2021-05-10 17:26:49 檢舉

就利用你上一個發問查詢是否被長城封鎖的檢查工具網站--這個我了解~
主機服務商新給的IP-->這是什麼意思?虛擬主機只有固定一個IP不能換
網域輸入檢查工具網站-->類似這篇文章介紹的網站嗎?
https://free.com.tw/urlvoid/

mathewkl iT邦高手 1 級 ‧ 2021-05-10 21:25:16 檢舉

https://blocky.greatfire.org/
https://www.websitepulse.com/tools/china-firewall-test
先測試是IP還是網址被阻擋
是網址就再申請一個domain
是IP的話如果你的服務提供商只能1個IP對1個主機就只能另開主機了

Amy iT邦新手 4 級 ‧ 2021-05-11 10:03:51 檢舉

我測了虛擬主機的IP,結果如附圖

這樣我的虛擬主機是沒被擋的
確定是網址被擋
是網址就再申請一個domain-->一直以來的處理方式就是domain被汙染就換domain,但這樣對SEO很不好,現在就是想辦法[預防]DNS汙染

mathewkl iT邦高手 1 級 ‧ 2021-05-11 15:45:15 檢舉

你無法猜測黨，無從預防，不過只要沒被刻意檢舉通常可以活一段時間，SEO只能說放棄它，因為你不好猜是什麼內容讓中國要汙染這個domain..

Amy iT邦新手 4 級 ‧ 2021-05-11 17:33:15 檢舉

SEO無法放棄,網站一直換網域也是很麻煩,
我現在是想到一個方式,
就是看最多中國網民使用的公共DNS是哪一個,
我就在那家的DNS做網域解析,
雖然無法讓"所有"中國網民順利連到我網站,
至少可讓"多數"中國網民順利連到我網站,
現在又萌生一個新的問題,
中國公共DNS的市占情況如何...
網上找不到...