223.5.5.5 dns dotnet.microsoft.com 网站返回证书是 djfidicjmwos.com 的

2023-12-15 12:03:10 +08:00

kkk123

https://imgur.com/HoLxXkH

https://imgur.com/AGZoYb0

在腾讯云的机器查询也是返回也是同 C 段的 IP

~$ nslookup dotnet.microsoft.com 223.5.5.5
Server:		223.5.5.5
Address:	223.5.5.5#53

Non-authoritative answer:
dotnet.microsoft.com	canonical name = dotnetwebsite.azurefd.net.
Name:	dotnetwebsite.azurefd.net
Address: 156.251.239.114
dotnetwebsite.azurefd.net	canonical name = firstparty-azurefd-prod.trafficmanager.net.
firstparty-azurefd-prod.trafficmanager.net	canonical name = shed.dual-low.part-0045.t-0009.t-msedge.net.
shed.dual-low.part-0045.t-0009.t-msedge.net	canonical name = part-0045.t-0009.t-msedge.net.
Name:	part-0045.t-0009.t-msedge.net
Address: 2620:1ec:bdf::73
Name:	part-0045.t-0009.t-msedge.net
Address: 2620:1ec:46::73

4134 次点击

所在节点

DNS

DNS

18 条回复

LoliconInside

2023-12-15 12:24:32 +08:00

https://community.cloudflare.com/t/china-isp-massive-domain-name-hijacking/590867/5

lovelylain

2023-12-15 12:40:53 +08:00

@LoliconInside 以为正经反馈问题的 issue 里面网址会很正经的我在公司打开了里面的一个网址，并没有看到 hijacking ，而是赶紧关闭了这个网页

BaffinLee

2023-12-15 12:42:37 +08:00

看看是不是污染了 https://dns.must.cool/?domain=dotnet.microsoft.com

vmebeh

2023-12-15 12:43:31 +08:00

经常在被劫持的网页证书上看到这个域名
有时换掉运营商的 dns 即可解决

gentrydeng

2023-12-15 12:47:36 +08:00

这是之前就出现过的中间人攻击：/t/656367

faceair

2023-12-15 12:47:59 +08:00

可能是 udp 劫持，试试 dig dotnet.microsoft.com @223.5.5.5 +tcp

gentrydeng

2023-12-15 12:48:34 +08:00

https://www.v2ex.com/t/656367

0o0O0o0O0o

2023-12-15 12:57:02 +08:00

kdig +tls AAAA dotnet.microsoft.com @223.5.5.5

kkk123

2023-12-15 12:59:47 +08:00

@faceair 截图是本地的 adguardhome, 上游是 tls://223.5.5.5:853 . 把阿里的 DNS 去掉清缓存就正常了

faceair

2023-12-15 13:06:20 +08:00

@kkk123 那确实像是阿里云的 DNS 结果被污染了一会儿

wdlth

2023-12-15 13:11:11 +08:00

用阿里 DNS 的 DOH 测试了，有时会返回 156.251 开头的 IP ，应该是阿里 DNS 某台出口的查询被劫持了。

LoliconInside

2023-12-15 13:30:17 +08:00

@lovelylain hhhhhh 我也没仔细看，刚发现

wdlth

2023-12-15 13:32:17 +08:00

发现 114DNS 也有这种情况

kkk123

2023-12-15 13:34:27 +08:00

@wdlth 刚还去看 114 有没有 tls doh 之类呢 😃 看样子 114 是准备老本吃到死了

gentrydeng

2023-12-15 13:42:33 +08:00

#5 #7 搞错了，不是同一个问题。

应该是阿里 DNS 某个出口被劫持了，而且只有 IPv4 DNS 有问题，通过 IPv6 DNS （ 2400:3200::1 ）查询是没有问题的。

# dig @2400:3200::1 +noall +answer dotnet.microsoft.com
dotnet.microsoft.com. 1 IN CNAME dotnetwebsite.azurefd.net.
dotnetwebsite.azurefd.net. 1 IN CNAME firstparty-azurefd-prod.trafficmanager.net.
firstparty-azurefd-prod.trafficmanager.net. 1 IN CNAME shed.dual-low.part-0022.t-0009.t-msedge.net.
shed.dual-low.part-0022.t-0009.t-msedge.net. 1 IN CNAME part-0022.t-0009.t-msedge.net.
part-0022.t-0009.t-msedge.net. 1 IN A 13.107.213.50
part-0022.t-0009.t-msedge.net. 1 IN A 13.107.246.50

cubecube

2023-12-15 16:54:56 +08:00

所以，谁劫持的！

miaomiao888

2023-12-18 09:13:26 +08:00

之前某数字浏览器就默认启用了跳过证书错误，搭配这个食用的话是不是效果最佳呀。

shuax

2024-01-05 09:39:27 +08:00

遇到同样问题了

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1000642

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX