使用海外服务器的用户最近肯定很头大,为什么动不动域名就出事了。要么墙了,要么就是被公安拦截了,下面讲解一下原因和解决方案
域名在腾讯云产品中打不开被拦截解决办法很简单,但是在浏览器打开还是被拦截就严重了,可能是浏览器拦截或者运营商拦截,浏览器拦截自己可以查到申诉地址申诉解除,被墙或者运营商劫持就比较棘手了
2021年9月1日起开始施行《关键信息基础设施安全保护条例》,重点行业和领域重要网络设施、信息系统属于关键信息基础设施,国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治违法犯罪活动。
当《条款》开始实施,这意味着,只要是海外服务器,必然会被监控是否有敏感词,且不受保护!
当然,国内服务器也会监控的,不要以为备案以后就解决了。
如何判断?
被墙
原因
假如域名下的网站非法信息多,敏感,又不整改,会直接被G.F.W墙掉。
表现方式
域名被GFW墙可能表现为域名解析正常,但国内无法正常访问(国内被解析到127.0.0.1和0.0.0.0),用海外代理或者使用海外VPN可以打开,一般说明域名被墙了。
被劫持
原因
互联网攻击的一种方式,通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的IP地址,使用户无法访问目标网站、蓄意或恶意要求用户访问指定IP地址(网站)。
表现方式
DNS劫持:当你打开网站,跳转到另一个不属于你的域名;HTTP劫持:打开你的网站,IP和域名不变,但不是你的网页内容
反诈拦截主要表现为使用电信(或其他网络)打开网址跳转到反诈网址,使用联通、移动、铁通等(例子,或其他)网络可打开原网站
被污染
原因
DNS污染,又称为域名服务器缓存污染(DNS cache pollution)或者域名服务器快照侵害(DNS cache poisoning)。DNS污染是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址。
表现方式
DNS服务器缓存被污染会解析到错误的ip地址,常见的表现方式是无法正常访问打开网页或打开其他网站页面。
被墙简介
中国国家防火墙(Great Firewall)指我国政府在其管辖因特网内部建立的多套网络审查系统的总称,包括相关行政审查系统。首要设计者为北京邮电大学原校长方滨兴,被称为“国家防火墙之父”. 基于这套系统,国家可以屏蔽我们大陆之外的任何非法网站,使其不能被国内所访问。而我们所讲的域名被墙,通俗的来讲就是域名被国家防火墙列入了黑名单,或者网站IP被列入了GFW的黑名单里。
当你查询解析时,发现主域名多了一个ip地址127.0.0.1或者0.0.0.0,但国外可以访问,国内无法访问。我们称之为域名“被墙”,其实是被防火长城GFW拦截了。“被墙”我们就要找原因,长城GFW其实是有一个敏感词库,他会检测HTTP传输的内容,因为HTTP是明文传输的。国内用户访问外网ip的时候,防火墙会抓取HTTP数据包,扫描其中的内容。如果有敏感词,就在两台主机间伪造一个”reset”信号,导致双方主机以为对方中止了请求,通过“合规内容审查”的手段来规避一些非法内容在国内的传播访问;除了这个还会有劫持DNS,GFW对国内DNS服务器进行了缓存污染, 这种污染体现在使用国内DNS服务器对海外ip进行解析会得到稳定的、虚假的IP地址。GFW还会会拦截和应答试图从国内发往国外的DNS解析请求(也可能是对国外DNS服务器 的应答进行了篡改);其次,GFW还可能维护了一张IP黑名单,一旦发现发往黑名单中地址的请求数据包,就直接将其丢弃,这将导致源主机得不到目标主机的及时响应而引发超时,从而达到屏蔽对目标主机的访问的目的。
GFW最常见的是屏蔽域名,极少屏蔽IP 。除非这个IP违规严重。而且屏蔽IP弊端太大,除了可能会误伤其它同IP的网站,被屏蔽的网站只要换个IP 就行了。因此目前针对域名的屏蔽是主流。
使用终端指令ping一个已经被墙的域名(你可以百度搜索ping或者借助ping工具检测)
被墙预防和解决方案
- 备案域名使用国内服务器(概率解决)
- 解析到国内转发服务器将旧的被墙域名301全站转发到新注册的域名(解决)
- 删除网页中的敏感内容(预防)
- 不测试未知源码(预防)
- 购买腾讯云DNS解析专业版,开启DNSSEC防篡改,防止被污染解析到违规页面(预防)
- 将域名解析到国内的某个大站,过几天后有可能会被解封(概率解决)
反诈拦截简介
国家信息反诈从2020年开始加强管理,公安推出了反诈APP,还有各种传播反诈宣传,拦截诈骗,记录违法违规账号等。
其中影响网站使用的就是网址拦截了,一般是公安,运营商和地方企业开办的,公安让地方运营商和地方企业对域名内容检测和被举报公安域名黑名单的域名进行劫持。当网址打开后不是原来的地址,而是公告提示的反诈网页,这意味着域名DNS和HTTP已经被劫持了。如果备案了,解析还会增加0.0.0.0或127.0.0.1,劫持的原理与GFW的方法相似,但有三个特点,是地方性的,某个省份的网民无法访问;HTTP劫持;不止检测国外域名。从《关键信息基础设施安全保护条例》实施后,这个情况会越来越“严重”,解析到海外大概率会被拦截,页面含有敏感词,必然拦截!最大的特点是即使是使用国内服务器,有问题照样拦截,而且不是只劫持反诈拦截,而是海外无法访问,且有反诈拦截!
在浏览器访问一个被拦截网站
被反诈拦截预防和解决办法
- 使用ssl证书开启HTTP强制跳转到HTTPS,加密传输数据包,提高网站安全性(预防)
- 修改为新的DNS,部分DNS缓存被污染导致被检测拦截,那么修改为新的即可(预防)
- 未备案域名备案后使用国内服务器(预防+解决)
- 删除网站敏感违规内容(预防)
- 与被拦截地区公安网警或通管局联系(解决)
- 必须登陆才能访问或开启验证码访问,避免重要页面被特殊工具污染(预防)
- 不测试未知源码(预防)
- 购买腾讯云DNS解析专业版,开启DNSSEC防篡改,防止域名被污染解析到违规服务器网站(预防)
即使你备案域名且使用国内服务器,你的网站依旧会被监控,不要以为使用国内服务器搭建违规网站就可以避免被墙和反诈拦截
最佳双预防方案
- 网站放二级目录
- 开启ssl
- 登陆访问,密码访问或验证码验证
- 人机验证,高防御系数反爬虫
- 域名备案
- 备案使用国内服务器
- 购买腾讯云DNS专业版防篡改套餐开启DNSSEC
- 删除敏感内容并启用敏感词库
- 不使用其他二级域名用于搭建测试下载的未知源码
- 加密前端
- 搭建在非80等常用端口
关于运营商封堵
如果没有以上反诈拦截和被墙的情况,就是单纯的封堵了
网友提供的解决方案:
按照流程,先向运营商投诉,无效后投诉到工信部。工信部张贴出来的申诉条件中也包括“已经向被申诉人投诉且对其处理结果不满意或者其未在15日内答复”这一条,所以先走一下流程也是有必要的,万一向运营商投诉就解决问题了呢?然而事情往往不会这么美好,运营商的回答通常很敷衍,对技术不熟悉的客服人员甚至不明白网页劫持是什么意思。无效后,就可以向工信部投诉运营商了!
其他
被劫持解决方案
- 立即修改域名服务商和邮箱密码,使用复杂度高的密码且经常更换;
- 删除不属于你的DNS解析,恢复DNS设置;
- 关闭域名的泛解析,进入域名管理找到带*号的域名解析,删除掉即可;
- 如果使用的是第三方DNS服务,应立即修改第三方DNS服务端帐户密码,锁定帐户信息,开启帐户短信邮箱类提醒;
- 检查网站整体代码是否被篡改。这是解决域名劫持问题之后对自己的网站进行全面排查,从而做到完美的清除垃圾页面,保证网站的安全性;
- 收集全部被非法添加的页面并设置404,使用百度站长平台工具提交死链。因为那些网站的死链就是我们的垃圾页面,所以我们要把这些死链都解决。我们在页面举报内容处写上网站被恶意攻击就可以了;
- 如果该服务商下域名经常出现被劫持事件,可考虑更换更安全稳定的服务商。有能力的网站可自建DNS服务自主运营。
总结
对个人站长或者小企业来讲,这些防火墙,拦截等,影响太大了
如果站在普通网民的角度来讲,防火墙和拦截没有什么不好的。为什么这样说,首先普通网民不会接触国外的信息,当然也看不懂。再其次帮我们网民挡住了很多有害信息,虽然不符合互联网的分享精神,但是王先生认为,这样做没有什么不妥
当然,只要正规经营网站,使用国内服务器,备案域名,不含有违规内容,那就不会出现这些情况!今天也施行新规了,百度等搜索引擎,也在渐渐降低海外服务器网站的排名和收录,所以,备案且不违规才是新的信息网络时代
本文来源:【反诈拦截与域名被墙的预防和解决方案】
由思享SEO博客编辑转载,仅用于参考学习,如有侵权请联系本站修改删除!