以tj.122.gov.cn这个网站为例,在内网终端上进行测试,由于有内网DNS,首先定位是否是dns解析问题,在不更换dns的情况下解析域名地址,为121.32.254.175
将DNS服务器地址更换为与内网DNS对外请求一样的114.114.114.114,解析出来的域名地址为117.25.140.29,此时网站可以正常访问
到内网DNS服务器上解析一下,解析出来的地址为117.25.140.29,和终端不使用内网DNS解析出来的一样
也就是说只要使用内网DNS进行解析,解析出来的地址都会变为121.32.254.175,那么首先通过网上找的IP地址分析工具分别分析一下解析出来的这两个IP地址
117.25.140.29的解析结果:
121.32.254.175的解析结果:
从结果可以看出,一个是指向了tj.122.gov.cn,另一个指向了深信服的一个地址,随后,将第二个地址发给原厂进行确认,为原厂提供的蜜罐服务地址。这时,基本确定了这个问题和防火墙有关,到防火墙上看日志,发现是防火墙有记录将某些域名访问请求标记为了僵尸网络访问并重定向到了蜜罐,相关策略名为“服务器场景保护”
再到“服务器场景保护”相关策略那里去看,首先禁用了该条策略,问题依旧,最后在“高级设置”中找到了一个“启动未知域名拦截”项,将其禁用就可以正常解析了
然后又测试了一下,将“启用内网DNS服务器场景优化关闭”,这时,不管启不启用“未知域名拦截”,都可以正常解析
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2023-8-21 17:12
多谢分享
技术员3级 
