1

Сегодня мой интернет-провайдер заблокировал мой интернет из-за подозрительной активности - исходящих запросов на вредоносные сайты. Многочисленные сканирования моей машины не могли выявить виновника. Однако после выполнения быстрого netstat /f я обнаружил следующее:

TCP    127.0.0.1:5357         101com.com:49168       TIME_WAIT
TCP    192.168.1.21:49169     THOMSON:netbios-ssn    TIME_WAIT
TCP    192.168.1.21:49170     THOMSON:netbios-ssn    ESTABLISHED

TCP    127.0.0.1:49171        101com.com:49172       ESTABLISHED
TCP    127.0.0.1:49172        101com.com:49171       ESTABLISHED

По совпадению, всего несколько дней назад я решил начать добавлять серверы в мой файл хоста. 101com.com кажется, первая запись в моем списке.

Итак, действительно ли я отправляю запросы в 101com даже если он находится в черном списке? И если так, как это можно предотвратить?

Благодарю.

1 ответ1

2

Во-первых, давайте проясним что-то. Файл hosts не препятствует разрешению доменных имен, он только переопределяет то, к чему разрешаются домены.

Когда какая-либо программа пытается разрешить 101com.com , ваша ОС обычно запрашивает у DNS-серверов свой IP-адрес. Но, если он есть в вашем файле hosts, то 101com.com будет преобразован в предоставленный IP без DNS-запроса.

Разрешение доменного имени все еще происходит, но оно обрабатывается внутри ОС. Все программы, которые пытаются разрешить домены, получат IP-адреса в ответ, но это будет IP-адрес, который вы указали вместо DNS.

101com.com не занесен в "черный список", вы только перенаправили его трафик на свой компьютер (127.0.0.1).

Теперь, как мы можем объяснить 101com.com в выводе netstat ? Это довольно просто. netstat попытается отменить поиск доменных имен для IP-адресов в третьем столбце. Вы определили 101com.com в качестве доменного имени для 127.0.0.1 , поэтому, если у вас есть TCP-соединение с вашего компьютера (127.0.0.1) с вашим компьютером (127.0.0.1), то оно также может быть показано как соединение от 101com.com до 127.0.0.1 .

101com.com все еще существует для вас, но теперь он указывает на ваш компьютер, а не на их. Если ваш компьютер говорит что-то о 101com.com , это означает само по себе.

Это не имеет никакого отношения к вашему провайдеру, и он не знает, что вы добавили некоторые записи в файл hosts .

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .