共计 430 个字符,预计需要花费 2 分钟才能阅读完成。
本帖最后由 Xiaomage2333 于 2024-2-23 09:57 编辑
RT,最近发现我的 1IP 小站跳在联通 4G 的网络下,每天第一次访问跳 H 网。因为种种原因并没有开 HSTS,因此第一次访问还是 HTTP,每天第一次访问必跳 H 网,跳转完之后哪怕强制使用 HTTP 访问都不能再复现了,每天只会出现一次。复现的话每天只有一次机会,每天 0 点重置。
tcpdump 用 wireshark 分析如下,正常的 TTL 是 49,可是突然返回了 TTL 为 230 的一个包,这个包有问题:
很长时间了,去年夏天就有,访问古博测评站天天跳,没想到自己的站也开始了,是联通在搞 HTTP 劫持吗?请教大佬如何排查和硬刚联通?
抓包的时候开了 DOT,因此应该不是 DNS 劫持,就是 HTTP 劫持。
我把一个子域名解析到了联通测速平台上,明天再试试,看看是不是根据域名 SNI 判断是否要劫持的,因为直接访问 CF IP 的 80 端口并没有被劫持。
另外我在 cf worker 上新起了一个 hello world,明天试试,排除服务器挂马问题。
正文完
