每当我访问有关 Thunderstrike 2、Mac 固件攻击(“Thunderstrike 2 是 Mac 用户的最新噩梦”)的特定旧 Tech Times 文章时,我都会查看 Chrome 连接到的poaulpos.net网站的域信息。who.is我有 Little Snitch,一个基于应用程序的防火墙,所以我在 Chrome 第一次尝试连接它时阻止了它。
我的问题非常基本:单击任何 who.is 条目的诊断选项卡会自动在网站上运行 ping 和 traceroute。这或多或少类似于通过在浏览器中输入主机名并让它加载来访问网站?
相关网站昨天才注册,联系信息受 Whoisguard 保护。我很偏执。我对该网站持怀疑态度,并担心是否以某种方式尝试通过 who.is 诊断选项卡访问该网站,从而让恶意软件进入我的笔记本电脑。
这或多或少类似于通过在浏览器中输入主机名并让它加载来访问网站?
简短的回答,不......它甚至不接近。
当您运行 whois时,您正在查找 IP 或域的公开注册信息。在许多情况下,whois请求甚至不会与目标服务器通信。相反, whois数据库主要由注册商和注册管理机构运行。ICANN 的 IANA 部门为各种互联网资源运行中央注册管理机构,指向负责(子)注册管理机构的whois服务器以及该注册管理机构的详细联系信息。
您正在运行的程序也在对服务器运行 ping。在大多数情况下,标准 ping 命令使用ICMP 或 Internet 控制消息协议。然而,对于检查服务器状态的程序来说,情况并非总是如此。您正在使用的工具可能会进行端口扫描以检查端口 80 和 443 的可用性。NMAP是另一个具有此功能的工具的示例。
现在,您的问题的核心......上面列出的所有内容与访问网站本身有何不同?答案是上述所有工具都非常简单,它们发送消息并获取消息,但只进行很少的处理。与打开 TLS 套接字以通过 HTTPS 进行通信相比,它们或多或少都是愚蠢的挑战/响应类型系统。
当您打开浏览器并导航到https://google.com时,会发生以下情况:
google.com以尝试获取它应该连接的 IP 地址。
/(通常称为文件,index.html但也可以是index.php,index.asp等,具体取决于服务器)。/,它会尝试加载其内容以供您查看……但是,虽然 HTML 可以在其内容中包含图像(base64 uri 编码)和脚本……但它通常包含对其他内容的引用也需要下载的文件。在许多情况下,加载一个页面会导致大量的二次请求……例如加载 google.com 会导致 12 个不同的 HTTP 请求。可以通过使用NoScript之类的东西来加载没有 JavaScript 的页面,但是,这也可能会阻止网页运行……例如,如果不执行某些 JavaScript 内容,您将无法登录 stackexchange。
因此,要回答您问题的核心,不...通过运行 whois 或 ping evil-website-of-doom.com 来感染您的计算机即使不是完全不可能也不太可能...但是,如果您 ping 它...他们会得到您的IP地址,这可能是也可能不是问题......但这完全是一个不同的问题。
ping 一个网站并在浏览器中查看它是两个完全不同的过程,它们完全涉及不同的协议。Ping 发送 ICMP 请求(响应不会是恶意的),同时查看网页发送请求以获取网站的索引页面(可能是恶意的)。
在您的情况下,您无需担心。首先,这是对托管网站的机器的请求,而不是对网站本身的请求。其次,连接是由 who.is 连接到网站的,而不是从您的笔记本电脑连接到网站的。该网站无法知道您的 IP 地址。
您无法 ping 一个网站。您可以 ping网络接口;这会将 ICMPECHO请求数据包发送到该接口(并汇总收到的回复)。
网站(在此上下文中)是在接口上的一个或多个TCP 端口(通常端口 80 用于 HTTP,端口 443 用于 HTTPS)上响应 HTTP 和/或 HTTPS 请求的服务器。
给定的接口可能会或可能不会回复 ICMPECHO数据包(但它应该)。同一个接口可能有也可能没有一个或多个网站绑定到它的 TCP 端口。但两者是完全独立的。
回答安全问题:ping 不能携带恶意载荷;服务器需要准确返回您发送的有效负载,但即使没有,您也永远不会以任何方式解释它。您的 ping 程序可能会检查接收到的数据是否与发送的数据匹配,但不得对内容执行任何其他操作(在大多数情况下,您无论如何都会发送空有效负载)。
您提供了少量信息(一个接口对另一个接口的可达性/状态感兴趣),但除此之外几乎没有。