网站被劫持问题概述

概述

网站被劫持问题经常出现在运营商数据传输的过程中,其中包括HTTP劫持、DNS劫持、运营商直接重置。

详细信息

HTTP劫持

HTTP劫持主要是应用层的劫持,其中302劫持和内容篡改都会产生,主要的现象比较明显。如果是302,那么可以明显看到返回结果出现302到非阿里云的服务节点,可以通过配置为HTTPS协议,使用HTTPS访问规避该问题。如还是无法解决,可通过提交工单,联系阿里云技术支持。

说明:提交工单时需要写明具体的客户信息、域名、所在区域,被劫持到的IP地址(即302到的IP地址)。

DNS劫持

DNS劫持主要是在解析时可看到解析的非阿里云地址,通常通过dignslookup命令可以看到是一个A解析记录,而非CNAME解析。DNS解析一般都与DNS有关,如果有这类故障,请先排除本地绑定hosts的情况后,再收集出口DNS信息和被劫持的IP地址。如下所示,异常的DNS解析没有经过阿里云CNAME解析,即被劫持到2个IP地址。您可以通过使用阿里云的HTTPDNS,防止被劫持。

运营商直接重置

主要表现在直接使用curl命令返回的结果即为非正常返回,比如出现“connection reset by peer”错误,这种情况可以通过使用其他域名进行测试,查看是否也有reset情况,发生该报错大部分是针对域名所进行的劫持。

可以进行客户端抓包查看TTL是否一致,从抓包数据可知,返回reset的数据TTL为168,正常阿里云Linux服务器的TTL都小于64,因此该返回结果为异常,可以直接提供抓包和测试现象,联系阿里云技术支持进行协助处理。

适用于

  • CDN