电信,你就不能稍微消停点?
对进出本机的数据包拦截分析的结果,证实 218.30.64.194 这个玩意是电信使用DNS劫持的结果。
流程如下:
1. 当用户机请求一个域名时,DNS服务器返回的不是那个域名所在的ip地址,而是 61.139.8.100 ,这是成都电信的ip。
2. 这个成都电信的IP上的服务器返回如下内容的一个网页给用户计算机,页面上只有一个用Javascript写的,命令用户计算机去请求 218.30.64.194 (即电信搜索页面)的指令。于是,用户请求一个域名就变成了电信114搜索。
<script>
s=String(window.location.href);
mylocal=s.substring(7,s.indexOf(’/',7));
t=”http://218.30.64.194/response.asp?MT=”+mylocal+”&srch=5&prov=&utf8″;
document.location.href = t;
</script>
通常这种情况发生的时候,外地的或本地别人的机器访问同一个域名是没有什么问题的。这说明不是该域名所在的服务器出了问题,或者DNS服务器出了问题,而是电信进行了随机DNS劫持,以欺骗加强迫的方式推广其所谓的114搜索。
另外,通常这种情况发生时,发生DNS劫持的用户机大约会有10分钟以上会保持这种无法访问那个被劫持域名的状态。
临时的解决办法是:
* 将 61.139.8.100 及 218.30.64.194 均列为受限制站点
* 如果有防火墙,在防火墙里将此两个IP的所有通讯全部禁止。
最后,谨向MS致歉,从以上过程可以看出,MS的autosearch与此事毫无关系。