Heute hat mein ISP meinen Internetanschluss aufgrund verdächtiger Aktivitäten blockiert – ausgehende Anfragen an bösartige Websites. Zahlreiche Scans meines Rechners konnten den Übeltäter nicht aufdecken. Nach einer kurzen Überprüfung netstat /ffand ich jedoch Folgendes:
TCP 127.0.0.1:5357 101com.com:49168 TIME_WAIT
TCP 192.168.1.21:49169 THOMSON:netbios-ssn TIME_WAIT
TCP 192.168.1.21:49170 THOMSON:netbios-ssn ESTABLISHED
TCP 127.0.0.1:49171 101com.com:49172 ESTABLISHED
TCP 127.0.0.1:49172 101com.com:49171 ESTABLISHED
Zufällig habe ich erst vor ein paar Tagen beschlossen, Server zu meiner Hostdatei hinzuzufügen. 101com.comscheint der erste Eintrag auf meiner Liste zu sein.
Versende ich also tatsächlich Anfragen, 101comobwohl die Seite auf der schwarzen Liste steht? Und wenn ja, wie kann das verhindert werden?
Danke.
Antwort1
Lassen Sie uns zunächst etwas klarstellen. hostsDie Datei verhindert nicht die Auflösung von Domänennamen, sie überschreibt lediglich, in was Domänen aufgelöst werden.
Wenn ein Programm versucht, die Adresse aufzulösen 101com.com, fragt Ihr Betriebssystem normalerweise DNS-Server nach seiner IP-Adresse ab. Wenn Sie sie jedoch in Ihrer Hosts-Datei haben, 101com.comwird sie ohne DNS-Abfrage in die bereitgestellte IP aufgelöst.
Die Auflösung von Domänennamen erfolgt weiterhin, wird jedoch innerhalb des Betriebssystems abgewickelt. Alle Programme, die versuchen, Domänen aufzulösen, erhalten als Antwort IP-Adressen, allerdings die von Ihnen angegebene IP-Adresse und nicht die vom DNS bereitgestellte.
101com.comnicht auf der „schwarzen Liste“ steht, Sie haben lediglich den Datenverkehr auf Ihren eigenen Computer umgeleitet ( 127.0.0.1).
Wie können wir nun die Ausgabe von erklären 101com.com? netstatDas ist ganz einfach. netstatwird versuchen, Domänennamen für IPs in der dritten Spalte umgekehrt zu suchen. Sie haben 101com.comals Domänennamen für definiert, wenn Sie also eine TCP-Verbindung von Ihrem Computer ( ) zu Ihrem Computer ( ) 127.0.0.1haben , kann dies genauso gut als Verbindung von nach angezeigt werden .127.0.0.1127.0.0.1101com.com127.0.0.1
101com.comexistiert für Sie immer noch, aber jetzt zeigt es auf Ihren Computer, nicht auf den des PCs. Wenn Ihr PC etwas über sagt 101com.com, meint er sich selbst.
Dies hat nichts mit Ihrem ISP zu tun und er hat keine Ahnung, dass Sie der hostsDatei einige Einträge hinzugefügt haben.