郵件拒收與DNS劫持_第1頁
郵件拒收與DNS劫持_第2頁
郵件拒收與DNS劫持_第3頁
郵件拒收與DNS劫持_第4頁
郵件拒收與DNS劫持_第5頁
已閱讀5頁,還剩2頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、郵件拒收與DNS劫持最近接到了一些反饋說,在使用我們的RBL時,會拒絕所有入站信件。據我們判斷,應該是查詢者使用了具有DNS劫持的DNS服務器所導致。首先,我們先簡單說一下RBL的原理。目前用于垃圾郵件過濾的RBL服務,應該稱之為基于DNS的實時黑名單查詢,也就是說,這個服務是通過DNS協(xié)議來完成的。具體而言,當一個客戶端希望查詢某個IP地址(如4)是否在某個RBL(如cbl.anti-)中 是,其實際上是查詢如下地址是否存在解析: 1.cbl.anti-. (IP地址逆轉附加在RBL地址后)。DNS的解析分為幾種類型,對于RBL查詢,通常是查詢這個地址

2、是否存在A記錄、TXT記錄或者任意(ANY)記 錄。如果該地址被列入了這個RBL,那么查詢會返回一個具體的解析結果,根據RBL和查詢的不同,可以返回一段文本,也可以返回一個或幾個IP地 址,也可以同時返回文本和IP。返回的文本通常是一個說明,用來說明這個IP地址被列入了哪個RBL,具體信息去哪里查詢等。返回的IP地址并不具有實際 意義,只是標識該查詢有結果,通常這個IP地址是一個保留IP段的地址,如、等。如果該地址沒有被列入這個RBL,那么該查詢會返回一個查詢錯誤(NXDOMAIN),表示該地址未列入。DNS劫持就發(fā)生在這里,具體情況我們下面再詳細解釋。舉例

3、說明這個查詢過程:當查詢的IP地址不在RBL中時,返回狀態(tài)為MXDOMAIN。# dig 1.cbl.anti-.; <<>> DiG 9.3.3rc2 <<>> 1.cbl.anti-.; global options:  printcmd; Got answer:; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 58553; flags: qr rd ra; QUERY: 1, ANSW

4、ER: 0, AUTHORITY: 1, ADDITIONAL: 0; QUESTION SECTION:;1.cbl.anti-. IN   A; AUTHORITY SECTION:cbl.anti-.   3600    IN      SOA     cbl.anti-. wxy.anti-. 2008061006 14400 3600 14400 3600; Query time: 8

5、msec; SERVER: #53(); WHEN: Tue Jun 10 09:28:55 2008; MSG SIZE  rcvd: 90 當查詢的IP地址在RBL中時,返回狀態(tài)為NOERRO,并給出具體的結果:(這里使用RBL的測試地址,通常RBL都會提供一個特定地址,用于測試RBL是否工作)。# dig 27.cbl.anti-.           <&l

6、t;>> DiG 9.3.3rc2 <<>> 27.cbl.anti-.; global options:  printcmd; Got answer:; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5032; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 0; QUESTION SECTION:;27.cbl.anti-. 

7、0;      IN      A; ANSWER SECTION:27.cbl.anti-. 10800 IN A      ; AUTHORITY SECTION:cbl.anti-.   10800   IN      NS      ns1.anti

8、-.cbl.anti-.   10800   IN      NS      ns3.anti-.cbl.anti-.   10800   IN      NS      ns4.anti-.cbl.anti-.   10800   IN   

9、60;  NS      ns5.anti-.cbl.anti-.   10800   IN      NS      ns7.anti-.cbl.anti-.   10800   IN      NS      ns8.anti-.; Query time:

10、 3 msec; SERVER: #53(); WHEN: Tue Jun 10 09:31:01 2008; MSG SIZE  rcvd: 172 查詢TXT記錄的結果如下(通常收到由于RBL列入而退回的信件中的退信消息就是來自這里的):# dig 27.cbl.anti-. TXT; <<>> DiG 9.3.3rc2 <<>> 27.cbl.anti-. TXT; global options:  printcmd; Got

11、answer:; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 21173; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 6, ADDITIONAL: 0; QUESTION SECTION:;27.cbl.anti-.        IN      TXT; ANSWER SECTION:

12、27.cbl.anti-. 10800 IN TXT    "Mail from refused, see http:/anti-; AUTHORITY SECTION:cbl.anti-.   10675   IN      NS      ns5.anti-.cbl.anti-.   10675   IN  

13、60;   NS      ns7.anti-.cbl.anti-.   10675   IN      NS      ns8.anti-.cbl.anti-.   10675   IN      NS      ns1.anti-.cbl.ant

14、i-.   10675   IN      NS      ns3.anti-.cbl.anti-.   10675   IN      NS      ns4.anti-.; Query time: 37 msec; SERVER: #53(); WHEN: Tue Jun 10

15、09:33:06 2008; MSG SIZE  rcvd: 255在明白了RBL查詢的原理后,我們來看一下RBL劫持的發(fā)生原因。由于國內很多用戶在使用電信企業(yè)的線路連接互聯(lián)網時,都會使用接入的ISP所提供的DNS,有的是明確設置使用的,有的是通過PPPoE或 DHCP分配使用的。最近一些年來,電信企業(yè)為了引導用戶訪問其增值站點或合作站點,通過會對其DNS做一些修改,在接收到一個不存在結果的DNS查詢 時,總是返回一些特定的IP地址,使用戶訪問到這些增值站點。比如你在使用ADSL上網時,如果隨便在瀏覽器的地址欄中任意敲入一個無效的域名,通常都會 給你重定向到電信企業(yè)自己的門戶站點。一

16、般而言,這種行為對于用戶沒有多大的損害,最多只是扭曲了用戶意志,強制其訪問另外一個站點而已。但是,對于使用RBL來防范垃圾郵件的用 戶,這種DNS劫持就會帶來較大的麻煩。在這種情況下,所有的DNS查詢都會返回一個有效的結果,換言之,無論任何發(fā)來郵件的IP地址,都會被認為列入到 了RBL中,用戶將接收不到任何外部郵件。那么如何應對這種情況呢?有兩種辦法:一是使用一個可信的,沒有被DNS劫持的DNS服務器。國內電信企業(yè)的DNS被劫持的情形比較多,尤其是做接入的ISP的DNS服務器,很多都 存在劫持問題。可以考慮使用國外的公開DNS、或者一些未劫持的DNS服務器。但是要注意的是,不能使用不支持公開解

17、析請求的DNS,即那種只解析特定域 名的DNS服務器是不能用來解析其他域名的;類似的,根域服務器(*.ROOT-SERVERS.NET)也是不提供這種公開解析請求的功能的。可以通過 nslookup或dig以及其它工具來測試一個DNS服務器是否可以提供公開解析功能,以及是否被劫持。查詢一個DNS服務器是否提供公開查詢可以做如下測試:# dig . A.ROOT-SERVERS.NET.; <<>> DiG 9.3.3rc2 <<>> . A.ROOT-SERVERS.NET.; (2 servers found); globa

18、l options:  printcmd; Got answer:; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63123; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 13, ADDITIONAL: 14; QUESTION SECTION:;.                &

19、#160;     IN      A; AUTHORITY SECTION:com.                    172800  IN      NS      H.GTLD-SERVER

20、S.NET.com.                    172800  IN      NS      I.GTLD-SERVERS.NET.com.            &

21、#160;       172800  IN      NS      J.GTLD-SERVERS.NET.com.                    172800  IN    &#

22、160; NS      K.GTLD-SERVERS.NET.com.                    172800  IN      NS      L.GTLD-SERVERS.NET.com.   

23、0;                172800  IN      NS      M.GTLD-SERVERS.NET.com.                 

24、60;  172800  IN      NS      A.GTLD-SERVERS.NET.com.                    172800  IN      NS    &

25、#160; B.GTLD-SERVERS.NET.com.                    172800  IN      NS      C.GTLD-SERVERS.NET.com.         

26、           172800  IN      NS      D.GTLD-SERVERS.NET.com.                    172800  IN &

27、#160;    NS      E.GTLD-SERVERS.NET.com.                    172800  IN      NS      F.GTLD-SERVERS.NET.com.

28、60;                   172800  IN      NS      G.GTLD-SERVERS.NET.; ADDITIONAL SECTION:A.GTLD-SERVERS.NET.     172800  IN 

29、;     A       0A.GTLD-SERVERS.NET.     172800  IN      AAAA    2001:503:a83e:2:30B.GTLD-SERVERS.NET.     172800  IN      A

30、0;      0B.GTLD-SERVERS.NET.     172800  IN      AAAA    2001:503:231d:2:30C.GTLD-SERVERS.NET.     172800  IN      A     

31、60; 0D.GTLD-SERVERS.NET.     172800  IN      A       0E.GTLD-SERVERS.NET.     172800  IN      A       0F.GT

32、LD-SERVERS.NET.     172800  IN      A       0G.GTLD-SERVERS.NET.     172800  IN      A       0H.GTLD-SERVERS.NET. 

33、;    172800  IN      A       0I.GTLD-SERVERS.NET.     172800  IN      A       0J.GTLD-SERVERS.NET.    

34、; 172800  IN      A       0K.GTLD-SERVERS.NET.     172800  IN      A       0L.GTLD-SERVERS.NET.     172800  IN&#

35、160;     A       0; Query time: 267 msec; SERVER: #53(); WHEN: Tue Jun 10 09:58:33 2008; MSG SIZE  rcvd: 498在上面這個測試中,我們使用根域服務器來查詢 這個域名,返回的結果是NOERROR,但是沒有ANSWER區(qū)來給出具體的IP地址。這表明該服務器(A.ROOT-SERVERS.NET.)不支持公開查詢。# 

36、;dig . 15    <<>> DiG 9.3.3rc2 <<>> . 15; (1 server found); global options:  printcmd; Got answer:; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 47283; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 3,

37、ADDITIONAL: 3; QUESTION SECTION:;.                      IN      A; ANSWER SECTION:.             

38、;  1978    IN      A       91; AUTHORITY SECTION:.               1976    IN      NS   &

39、#160;  .               1976    IN      NS      .               1976    IN&#

40、160;     NS      .; ADDITIONAL SECTION:.        84804   IN      A       66.        84804   I

41、N      A       54.        84804   IN      A       5; Query time: 2 msec; SERVER: 15#53(15); WHE

42、N: Tue Jun 10 11:19:13 2008; MSG SIZE  rcvd: 155在上面這個測試中,我們使用了一個公開的DNS服務器來查詢 這個域名,返回了正確的解析結果。說明該服務器支持公開查詢。當使用該服務器查詢一個不存在的域名時,如查詢 :# dig . 15; <<>> DiG 9.3.3rc2 <<>> . 15; (1 server found); global options:  printcmd; Got answer:; -

43、>>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 48272; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0; QUESTION SECTION:;.                 IN      A;

44、0;AUTHORITY SECTION:com.                    900     IN      SOA     a.gtld-. nstld.verisign-. 1213068006 1800 900 604800 900; Query time: 697 msec; SERVER: 15#53(15); WHEN: Tue Jun 10 11:19:22 2008; MSG SIZE  rcvd: 104這里返回了NXDOMAIN結果,表明該服務器沒有被DNS劫持。而當我們使用了一個被劫持的DNS(在筆者測試期間還存在

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論