Hostloc上原创重磅文章：Godaddy上的域名在国内为何解析失败？

Bye

有收获

will_z

支持楼主！

4x相识

javaluo，墙掉某个域名，的确在DNS递归过程任何一步都可以实现，只要DNS请求穿过墙。目前你如果去解析twi特，在访问DNS根节点时就被墙了，但这与Godaddy某个NS被墙掉是完全不同的两码事，前面我已对此做了详细的论证：Godaddy不是被墙而是自宫。 此外，我们有理由相信墙的精确制导能力还是不错的，不会差到需要墙掉Godaddy某个NS的地步，那样的误伤率估计墙自己都无法接受

SalesHosting

我只是很想补充一句：Godaddy的NS也是用的Anycast。

李院长

论证过程根本就是很片面的，如果并不是包回不来，而是出去的时候就被干掉了呢？你没有证明这一点

还有，以下问题你没有解答：

1. 如果是godaddy主动限制，那么应该是全部机器都限制；如果说某组ns受到攻击，再去主动限制，那样至少了是按组限制，但现在，就现在，ns01好的，ns02不通

2. qiang的明显特征是udp被干，但tcp却一点问题没有，现在，就现在，godaddy所有受影响的dns都是这样，如果是主动限制，为什么只限制udp，不限制tcp，如果godaddy有防攻击或自动限制，他应该知道tcp更应该限制

李院长

其实要证明很简单，只需要在国内ip到godaddy不正常dns之间的国内1个+国外1个路由上截包就知道了，这样就能知道包在哪里没有了，也只有这样才有说服力，大家也很期待这样的結果，我相信楼主可以做到的，你就截出来让大家爽一下吧

domin

4x相识 发表于 2012-7-21 02:45
睡不着，继续：）

多径路由包括两种（1）多条等带宽电路二层捆绑，Cisco目前支持16条捆绑，Juniper也差不 ...

我说的跟你说的是两回事, 算了你不明白我说的也无所谓, 我就是说说有这个可能性,虽然这个可能性很低.

SalesHosting

李院长说的也对，我就觉得少一个过程。没必要那么麻烦，直接拿国内的主机伪造国外IP到国外主机上去查看就行了。

domin

SalesHosting 发表于 2012-7-21 10:37
李院长说的也对，我就觉得少一个过程。没必要那么麻烦，直接拿国内的主机伪造国外IP到国外主机上去查看就行 ...

我觉得李院子说得没错, 唯一100%准确的验证办法就是在路由上捉包, 伪造IP来验证的方法如果GD真的用了某些手段来防止伪造IP的话, 是行不通的.
防止伪造的原理很简单, 只需要用BGP来指定电信和联通的流量必须通过某一条线路, 而其它线路如果进入电信联通IP的流量那就是不正常, 丢弃即可. 这种方式别说GD这种大公司, 连我这小公司都能做到.

360安全卫士

李院长 发表于 2012-7-21 10:33
论证过程根本就是很片面的，如果并不是包回不来，而是出去的时候就被干掉了呢？你没有证明这一点

还有， ...

亲，你tracert一下被X的节点你就能发现猫腻了。
是在GODADDY某层网关被null了的。