DNS在一个国家/地区解析错误的IP地址

我的一位朋友有一个基于Claroline的电子学习网站。两天前，只有瑞士用户在访问网站域时开始在另一个IP地址上“随机”重定向。

如果我在学生的PC上将DNS服务器强制设置为8.8.8.8或9.9.9.9，则可以正确解析域。但是，如果我使用本地的瑞士DNS服务器，它将解析为错误的（列入黑名单）IP地址。

奇怪的是：不仅是这个客户和他自己的计算机。瑞士的每个学生也受到影响。但不是法国的。

第二个奇怪的部分是：某些页面以正确的内容从该错误IP地址响应。就像电子教学在另一台服务器上重复或缓存在某处一样。

该服务器是旧的Ubuntu 10.04.4 LTS，可能未正确保护/配置。我在此服务器上具有完全访问权限，但是我没有对其进行管理，因此我不确定要查找的内容或什至要做什么。

到目前为止，这是我查看/尝试过的内容：

检查了所有Apache 2 vhost conf。
选中的iptables（空）和/etc/hostsand /etc/resolv.conf（安全）
问Swisscom（主要的瑞士电信）是否将域名列入黑名单或其他内容：不，检查了claloline代码库：看起来很安全，但是它很大。我无法检查所有文件。

这是其中一台学生Windows计算机上的nslookup：

C:\WINDOWS\system32>nslookup
Serveur par défaut :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

> elearning.redacted-domain.ch
Serveur :   UnKnown
Address:  fe80::8e59:c3ff:fecf:8d9b

Réponse ne faisant pas autorité :
Nom :    elearning.redacted-domain.ch
Address:  195.186.210.161

当然，195.186.210.161不是服务器的正确IP地址。

我不是系统管理员。我只是在帮助一个朋友，所以我不确定接下来要看什么。

domain-name-system

— 伊兹诺
source

这些学生的ISP可能正在尝试执行一些智能缓存，从而干扰了DNS。例如，他们都在同一所大学吗？如果您对服务器使用HTTPS，则他们仍然可以修改DNS，但是如果DNS结果指向的服务器不是您自己的服务器，则最终用户将看到证书错误，因为他们将不拥有私钥。

— 大卫，

另外，您确定服务器的IP地址是静态的吗？例如，如果在DNS记录的TTL内频繁更改或最近更改，则可能会将DNS解析为旧的（一次有效的IP），尽管这不能完全解释他们为什么看到镜像内容。如果您使用mxtoolbox.com/DNSLookup.aspx之类的工具，则可能会看到附加到域的A记录或CNAME记录的TTL。

— 戴维（David）

@DavidGoate这是有趣的部分，学生遍布法国和瑞士，在家中。法国人没有任何问题。

— iizno

@DavidGoate服务器IP已修复，从未更改。dnschecker.org/#A/elearning.affis.ch没有显示任何错误。

— iizno

嗨，还有可能发生的另一件事，就像我看到的过去那样的错误一样，它可能是ISP维护不好的DNS服务器。我看到DNS区域已被传输，但从未在ISP级别删除，因此导致奇怪的错误。

— yagmoth555

Answers:

正如MadHatter所写，这是最终用户的ISP（Swisscom）通过过滤代理重新路由您的站点。很有可能实际上，所有订阅其Internet Guard服务的用户都通过该服务器进行代理，而不仅仅是您的站点。

他们说，该过滤器可抵御恶意软件，网络钓鱼和病毒，因此它不应该是“分类”的问题，而应是安全性之一。

因此，您的第一步应该是检查该站点未被感染。PHP站点通常非常脆弱（如果有人找到了在可见层次结构中某处上载.php文件的方法，则可以远程执行该文件以执行他们想要的任何操作）。还有许多其他危害方法（SQL注入，存储的XSS ...）。

您的主页没有被阻止，或者至少没有一直被阻止，因此：

只有部分页面被感染
感染仅在用户请求的一小部分时间内出现（在雷达下飞行的常见策略）
或某些页面上还有其他东西会触发误报

通过将网站地址指向代理的IP地址，您可以自己查看结果。您可以通过编辑/etc/hosts文件（具体信息因平台而异）并添加一行来实现：

195.186.210.161        elearning.affis.ch

然后，您可以以这些用户之一的身份访问该网站，并查看哪些页面被阻止。

一旦更好地了解了哪些页面被阻止，就可以更轻松地确定实际问题。然后修复它，它可能会突然消失，或者您可能必须报告一个误报（在“被阻止”页面的底部有一个链接）。

请注意，尝试在检查感染之前报告假阳性可能会适得其反。非常努力地先查找并解决问题。

编辑

请注意，您运行的Claroline版本（1.11.9）自2014年以来具有多个XSS漏洞：

Claroline 1.11.9和更早版本中的多个跨站点脚本（XSS）漏洞允许经过远程身份验证的用户通过（1）收件箱操作中的Search字段将任何Web脚本或HTML注入到messages / messagebox.php，（2）姓名”字段输入auth / profile.php，或（3）将rqAdd操作中的Speakers字段添加到calendar / agenda.php

如果问题确实是由存储的XSS攻击引起的，请获取数据库的最新转储，并检查其是否包含诸如<script标签之类的内容（不要忘记区分大小写）。

— 卡龙
source

如果将浏览器指向返回的IP地址http://195.186.210.161/，则会收到Swisscom的“危险网站被阻止”消息。我的猜测是，他们的“安全互联网”内容阻止系统至少部分是通过响应DNS请求而起作用的，并且您的网站由于某种原因而受到攻击。

我知道您问过他们是否阻止了您，但以我的经验，即使是中型ISP的一线技术支持也丝毫不了解发生了什么事情。整个保姆系统很可能都已外包（或由第三方商业产品完成），而且Swisscom的任何人都不知道在任何给定时间哪些站点被阻止。询问您的学生是否有任何“保姆网络”设置可能会更有效率。

归根结底，这可能不是您可以解决的问题，因为您不是ISP的客户，而且他们不欠您任何费用。让学生的家长致电ISP支持人员，大声抱怨DNS解析错误，并威胁说如果解决不了就更改ISP，这可能是唯一有效的方法。

编辑：该线索表明，Swisscom的网站阻止引擎可能有点过于热情，并且从中获得任何积极的解决方案并不总是那么容易。它还表明这不是选择加入的过滤器，但是它适用于所有Swisscom客户，无论他们是否喜欢，因此选择退出可能会很困难。

— 疯了
source

这就是我也想的原因，但是为什么有些页面显示正确的内容而另一些页面却超时了。？就像他们重复了一些页面一样。

— iizno

我们不知道他们在使用什么，所以我们不知道它是如何工作的。也许一线决策是在DNS解析时做出的，但是系统在195.186.201.161上基于请求的URL实施了二线决策，当且仅当它确定内容“安全”时，代理到真实服务器”。一旦人们开始尝试改变互联网协议以追求“安全”互联网的某些（无法维持的）构想，几乎任何事情都会出错。

— MadHatter

似乎可以用一个在适当管辖范围内的律师解决的问题……

— R .. GitHub停止帮助ICE

如果实际上正在对其进行代理和扫描，则强制使用HTTPS可能会有所帮助（或造成伤害）。ISP至少只能选择阻止整个站点，或者完全不阻止，而不是阻止某些页面而不是其他页面。这可能会使用户感到困惑。

— Joshua Dwire

整个保姆系统很可能都已外包（或由第三方商业产品完成），而且Swisscom的任何人都不知道在任何给定时间哪些站点被阻止。我曾与一家大型电信公司合作，可以做到这一点，因此可以确认。ISP技术支持人员可能根本不知道，但是，如果有任何问题，他们应该能够向实际运行分类系统的任何人开放票据。

— 巴库里