Сегодня мой провайдер заблокировал мой интернет из-за подозрительной активности - исходящих запросов на вредоносные сайты. Многочисленные сканирования моей машины не смогли выявить виновника. Однако, сделав быстрый анализ, netstat /fя обнаружил следующее:
TCP 127.0.0.1:5357 101com.com:49168 TIME_WAIT
TCP 192.168.1.21:49169 THOMSON:netbios-ssn TIME_WAIT
TCP 192.168.1.21:49170 THOMSON:netbios-ssn ESTABLISHED
TCP 127.0.0.1:49171 101com.com:49172 ESTABLISHED
TCP 127.0.0.1:49172 101com.com:49171 ESTABLISHED
По совпадению, всего несколько дней назад я решил начать добавлять серверы в свой файл хостов. 101com.comПохоже, это первая запись в моем списке.
Так, я действительно отправляю запросы на , 101comхотя он в черном списке? И если да, то как это можно предотвратить?
Спасибо.
решение1
Во-первых, давайте кое-что проясним. hostsФайл не препятствует разрешению доменных имен, он лишь переопределяет то, как разрешаются домены.
Когда какая-то программа пытается разрешить 101com.com, ваша ОС обычно запрашивает DNS-серверы для своего IP-адреса. Но, если у вас есть это в вашем файле hosts, то 101com.comбудет разрешен предоставленный IP без запроса DNS.
Разрешение доменных имен все еще происходит, но оно обрабатывается внутри ОС. Все программы, которые пытаются разрешить домены, получат IP-адреса в ответ, но это будет IP, который вы предоставили, а не тот, который предоставил DNS.
101com.comне занесен в «черный список», вы лишь перенаправили его трафик на свой собственный компьютер ( 127.0.0.1).
Теперь, как мы можем объяснить 101com.comв netstatвыводе? Это довольно просто. netstatпопробуем выполнить обратный поиск доменных имен для IP-адресов в третьем столбце. Вы определили 101com.comкак доменное имя для 127.0.0.1, поэтому если у вас есть TCP-соединение с вашей машины ( 127.0.0.1) на вашу машину ( 127.0.0.1), то его можно также показать как соединение с 101com.comна 127.0.0.1.
101com.comвсе еще существует для вас, но теперь он указывает на ваш компьютер, а не на их. Если ваш ПК говорит что-то о 101com.com, он имеет в виду себя.
Это не имеет никакого отношения к вашему интернет-провайдеру, и он не имеет ни малейшего представления о том, что вы добавили какие-то записи в hostsфайл.