恶意域名检测原理（记录网站被恶意域名解析的处理过程）

事情是这样的：

周五(2020年3月13日)，公司综合部的同事告诉我公司门户网站80端被联通封了，意味着我们公司网站对外已经不能访问了，问一下原因，甩给我一张截图：

看了有点懵逼....

浏览器输入 www.szyzzd.com 这个网址，确实被解析到了我公司的网站，我问了一圈同事，没有人知道这个域名是谁注册、解析到公司网站的，我对域名解析确实了解不多....我只知道域名是执行服务器IP来达到用户输入域名可以访问到服务器的，从我的认知来看，域名的解析是域名持有人来配置的，我能有什么办法？再说别的域名指向到我公司的服务器，多了一个访问渠道，又有什么坏处？？？

想着让联通那边的老师关停他的解析不就行了，关我们什么事情？结果老师的反馈如下：

看来问题不是我想的那么简单，我就去查了一下什么是恶意域名解析：

乖乖，孤陋寡闻了....

回到我们要解决的问题，我们要联通放开我们的80端口啊啊啊啊，因为没有处理这种事情的经验，虚心请教了联通管事老师，我们需要怎么处理，老师给了两点建议：

1.寻找域名来源，如非自身工作人员申请，可投诉域名商，要求去除恶意解析。

2.加强自身网络安全防护，要自身服务器阻断恶意解析可以访问的权限，出现恶意解析，应反馈403错误提示，而非自身网页。

我主要关注第二条，公司门户代码不是我写的，应用不是我部署的，但是这个不重要，分析一下：

1. 域名解析对应的是服务器的公网地址；
2. 域名解析对应的默认是80端口(废话，不然封我们80端口还用鸟？)
3. 80端口的使用者是公司的门户应用；

这个时候我查了一下，门户是JAVA写的，但是这个不重要，跟它没关系，不能把锅甩给他....承载门户应用的容器是Tomcat，应该是要从他下手了，怎么样让Tomcat只能通过制定的域名来访问内部的应用？

容器级别的问题，看来需要去研究Tomcat的配置文件了(server.xml)....

十分钟学习了解server.xml各个属性的作用.....

然后再打开我们自己的配置文件，发现配置文件基本就是按照默认的写的，没有什么变化，看来配置Tomcat的同事也是个菜鸟...

下面附上最后修改的代码：

只改了两个位置的代码：

defaultHost="localhost" 修改为 defaultHost="forbidden"，默认禁止所有来源访问； Host的name标签写上公司的域名，表示只允许通过指定的域名来访问，如果你想多个域名可以访问这个应用， 可以创建多个Host，指定不同的name属性来实现；

这是Tomcat的实现，顺手搜索了一下IIS的实现：

IIS防止恶意域名解析

还有Ngix、Apache，嗯.....我没用这两个，你们自己找方法吧，思路差不多。┗( ▔, ▔ )┛

然后呢，还是要求我们提供了一份对该事件的处理过程才能对80端口解禁，老老实实写了一下处理过程申请解禁：

最后呢，结果皆大欢喜，没有用太久，80端口就解禁了，公司门户恢复访问！

又get到一些小知识，我真是个爱学习的大叔~！ o(´^｀)o