223.5.5.5 dns dotnet.microsoft.com 网站返回证书是 djfidicjmwos.com 的

2023-12-15 12:03:10 +08:00
kkk123  kkk123

https://imgur.com/HoLxXkH

https://imgur.com/AGZoYb0

在腾讯云的机器查询也是返回也是同 C 段的 IP

~$ nslookup dotnet.microsoft.com 223.5.5.5
Server:		223.5.5.5
Address:	223.5.5.5#53

Non-authoritative answer:
dotnet.microsoft.com	canonical name = dotnetwebsite.azurefd.net.
Name:	dotnetwebsite.azurefd.net
Address: 156.251.239.114
dotnetwebsite.azurefd.net	canonical name = firstparty-azurefd-prod.trafficmanager.net.
firstparty-azurefd-prod.trafficmanager.net	canonical name = shed.dual-low.part-0045.t-0009.t-msedge.net.
shed.dual-low.part-0045.t-0009.t-msedge.net	canonical name = part-0045.t-0009.t-msedge.net.
Name:	part-0045.t-0009.t-msedge.net
Address: 2620:1ec:bdf::73
Name:	part-0045.t-0009.t-msedge.net
Address: 2620:1ec:46::73
4134 次点击
所在节点   DNS  DNS
18 条回复
LoliconInside
LoliconInside
2023-12-15 12:24:32 +08:00
lovelylain
lovelylain
2023-12-15 12:40:53 +08:00
@LoliconInside 以为正经反馈问题的 issue 里面网址会很正经的我在公司打开了里面的一个网址,并没有看到 hijacking ,而是赶紧关闭了这个网页
BaffinLee
BaffinLee
2023-12-15 12:42:37 +08:00
看看是不是污染了 https://dns.must.cool/?domain=dotnet.microsoft.com
vmebeh
vmebeh
2023-12-15 12:43:31 +08:00
经常在被劫持的网页证书上看到这个域名
有时换掉运营商的 dns 即可解决
gentrydeng
gentrydeng
2023-12-15 12:47:36 +08:00
这是之前就出现过的中间人攻击:/t/656367
faceair
faceair
2023-12-15 12:47:59 +08:00
可能是 udp 劫持,试试 dig dotnet.microsoft.com @223.5.5.5 +tcp
gentrydeng
gentrydeng
2023-12-15 12:48:34 +08:00
0o0O0o0O0o
0o0O0o0O0o
2023-12-15 12:57:02 +08:00
kdig +tls AAAA dotnet.microsoft.com @223.5.5.5
kkk123
kkk123
2023-12-15 12:59:47 +08:00
@faceair 截图是本地的 adguardhome, 上游是 tls://223.5.5.5:853 . 把阿里的 DNS 去掉清缓存就正常了
faceair
faceair
2023-12-15 13:06:20 +08:00
@kkk123 那确实像是阿里云的 DNS 结果被污染了一会儿
wdlth
wdlth
2023-12-15 13:11:11 +08:00
用阿里 DNS 的 DOH 测试了,有时会返回 156.251 开头的 IP ,应该是阿里 DNS 某台出口的查询被劫持了。
LoliconInside
LoliconInside
2023-12-15 13:30:17 +08:00
@lovelylain hhhhhh 我也没仔细看,刚发现
wdlth
wdlth
2023-12-15 13:32:17 +08:00
发现 114DNS 也有这种情况
kkk123
kkk123
2023-12-15 13:34:27 +08:00
@wdlth 刚还去看 114 有没有 tls doh 之类呢 😃 看样子 114 是准备老本吃到死了
gentrydeng
gentrydeng
2023-12-15 13:42:33 +08:00
#5 #7 搞错了,不是同一个问题。

应该是阿里 DNS 某个出口被劫持了,而且只有 IPv4 DNS 有问题,通过 IPv6 DNS ( 2400:3200::1 )查询是没有问题的。

# dig @2400:3200::1 +noall +answer dotnet.microsoft.com
dotnet.microsoft.com. 1 IN CNAME dotnetwebsite.azurefd.net.
dotnetwebsite.azurefd.net. 1 IN CNAME firstparty-azurefd-prod.trafficmanager.net.
firstparty-azurefd-prod.trafficmanager.net. 1 IN CNAME shed.dual-low.part-0022.t-0009.t-msedge.net.
shed.dual-low.part-0022.t-0009.t-msedge.net. 1 IN CNAME part-0022.t-0009.t-msedge.net.
part-0022.t-0009.t-msedge.net. 1 IN A 13.107.213.50
part-0022.t-0009.t-msedge.net. 1 IN A 13.107.246.50
cubecube
2023-12-15 16:54:56 +08:00
所以,谁劫持的!
miaomiao888
2023-12-18 09:13:26 +08:00
之前某数字浏览器就默认启用了跳过证书错误,搭配这个食用的话是不是效果最佳呀。
shuax
2024-01-05 09:39:27 +08:00
遇到同样问题了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1000642

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX