找回密码
 立即注册
CeraNetworksBGVM服务器主机交流会员请立即修改密码Sharktech防护
查看: 50|回复: 6

大葱省联通4G跳huang网 求教排查方案

[复制链接]

16

主题

153

回帖

568

积分

高级会员

积分
568
发表于 2024-2-23 09:43:56 | 显示全部楼层 |阅读模式
本帖最后由 Xiaomage2333 于 2024-2-23 09:57 编辑

RT,最近发现我的1IP小站跳在联通4G的网络下,每天第一次访问跳H网。因为种种原因并没有开HSTS,因此第一次访问还是HTTP,每天第一次访问必跳H网,跳转完之后哪怕强制使用HTTP访问都不能再复现了,每天只会出现一次。复现的话每天只有一次机会,每天0点重置。

tcpdump用wireshark分析如下,正常的TTL是49,可是突然返回了TTL为230的一个包,这个包有问题:







很长时间了,去年夏天就有,访问古博测评站天天跳,没想到自己的站也开始了,是联通在搞HTTP劫持吗?请教大佬如何排查和硬刚联通?

抓包的时候开了DOT,因此应该不是DNS劫持,就是HTTP劫持。

我把一个子域名解析到了联通测速平台上,明天再试试,看看是不是根据域名SNI判断是否要劫持的,因为直接访问CF IP的80端口并没有被劫持。
另外我在cf worker上新起了一个hello world,明天试试,排除服务器挂马问题。
回复

使用道具 举报

19

主题

505

回帖

1677

积分

金牌会员

积分
1677
发表于 2024-2-23 09:47:24 | 显示全部楼层
联通的内鬼搞的
回复

使用道具 举报

16

主题

153

回帖

568

积分

高级会员

积分
568
 楼主| 发表于 2024-2-23 09:54:23 | 显示全部楼层

FeiLai 发表于 2024-2-23 09:47

联通的内鬼搞的

我感觉也是 联通劫持一搜一把 电信干的就很少
回复

使用道具 举报

672

主题

254

回帖

3522

积分

论坛元老

积分
3522
发表于 2024-2-23 09:47:00 | 显示全部楼层
先看服务器WEB日志,请求有没有到达服务器,注意内容size,是不是正常,可以URI使用一个不存在的地址,返回404,更容易对比。

可以试试换本地IP,应该能复现。
回复

使用道具 举报

525

主题

3191

回帖

9055

积分

论坛元老

积分
9055
发表于 2024-2-23 09:58:53 | 显示全部楼层
51.la maccms lnmp .org 这三个养马场排查下
回复

使用道具 举报

672

主题

254

回帖

3522

积分

论坛元老

积分
3522
发表于 2024-2-23 10:01:49 | 显示全部楼层
看了下包里的IP,你是开了CF的PROXY吧,关了试试。有可能是劫持的CF的IP。
回复

使用道具 举报

16

主题

153

回帖

568

积分

高级会员

积分
568
 楼主| 发表于 2024-2-23 10:08:14 | 显示全部楼层

机长 发表于 2024-2-23 10:01

51.la maccms lnmp .org 这三个养马场排查下

感谢提醒,但是这三个都没用到,只是我树莓派上的一个smokeping,docker搭的,用cloudflare tunnel内网穿透出来我自己看 你提到的这三个确实容易出问题
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|HS2V主机综合交流论坛

GMT+8, 2024-11-14 11:19 , Processed in 0.080904 second(s), 11 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 |   访问量:   |   访客量:  

© 2001-2024 Discuz! Team. |   今日访问量:    |   今日访客量:  

快速回复 返回顶部 返回列表