昨天用户反映在某区教育城域网内打开某网站xxx.yunxiao.com时无法访问,但是用手机流量可以正常打开,一开始用户怀疑是不是城域网内的DNS安全策略将网站给阻止了,于是将DNS改成了市网络中心的DNS,这一改不要紧,竟然打开了!
于是,我便开始了针于DNS安全的排查之路,我将我的DNS地址改成区教育城域网的DNS,然后对上面的网址进行访问,发现没问题!可以正常访问!
将我的DNS改回默认自动获取,再次访问该网站,同样可以打开!
随后用户将他DNS解析结果与我的解析结果进行对比,发现:
区教育城域网的解析结果与我家中宽带的解析结果是一样的,是同一个地址。
既然解析的没有问题,那为什么不能访问呢?
用户在网络中对解析结果进行PING测试,发现解析的地址也可以PING通。
那么问题出来了!能解析出正确的地址,能PING通,但是为什么不能打开网站?难道是防火墙阻止了?
于是我再次登录防火墙,对防火墙策略进行排查,发现策略没问题,并没有阻止对这个IP的访问。
问题出在哪里呢?
走到这里呢,其实真是有点懵了。
过了一会儿,用户说,他看了一下这个网站,网站在打开的时候调用了另外一个域名portal-static.yunxiao.com,我打开网站看了一下源代码,的确如此。
再次用区教育城域网的DNS和市网络中心的DNS对其进行解析,发现解析出了两个不同的结果,如下:
下面是区DNS解析的
下面是市DNS解析的
其中市网络中心DNS解析的地址是可以PING通的,而区教育城域网的DNS解析的结果是PING不通的。
为了确认问题,将本机host文件进行修改,强制将那个域名指向市DNS解析的IP,完成之后访问,网站可以打开了!
看来问题是出现在这里了!
可是我在家用家里宽带解析的这个域名与区DNS解析的地址是一样,为什么我可以访问呢?
看来问题是出在区到市这段链路上了。
在区城域网内对解析的IP进行路由跟踪,发现最终停在了某一个IP上。联系市中心网络管理员最终确认如下:
该IP,曾经被某安全设备判断为恶意IP,被安全人员在设备上封禁了!
解封后,再次测试,区教育城域网内访问正常了!
于是乎感觉千万头动物从心中奔驰而过……
到这里问题解决了!
事后分析:
在该过程中,常规网络排查手段固然重要,但是如果用户没有查看源代码,或许这个问题真不太好解决。从网络角度一切者是正常的,可是谁又能想到这中间还隐藏了一个BOSS呢?