去评论
dz插件网

大葱省联通4G跳huang网 求教排查方案

左右不逢缘
2024/02/23 11:35:52
RT,最近发现我的1IP小站跳在联通4G的网络下,每天第一次访问跳H网。因为种种原因并没有开HSTS,因此第一次访问还是HTTP,每天第一次访问必跳H网,跳转完之后哪怕强制使用HTTP访问都不能再复现了,每天只会出现一次。复现的话每天只有一次机会,每天0点重置。

tcpdump用wireshark分析如下,正常的TTL是49,可是突然返回了TTL为230的一个包,这个包有问题:




很长时间了,去年夏天就有,访问古博测评站天天跳,没想到自己的站也开始了,是联通在搞HTTP劫持吗?请教大佬如何排查和硬刚联通?

抓包的时候开了DOT,因此应该不是DNS劫持,就是HTTP劫持。

我把一个子域名解析到了联通测速平台上,明天再试试,看看是不是根据域名SNI判断是否要劫持的,因为直接访问CF IP的80端口并没有被劫持。
另外我在cf worker上新起了一个hello world,明天试试,排除服务器挂马问题。