防各种 HTTP、DNS 劫持的办法

防火墙规则似乎会很耗资源，路由器上用的话，得不偿失。

@v1024 不是特别耗资源

iptables 的方法在 ros 下做过，发现 302 服务器好多，封不光。最大的问题是，好像会出现某种问题导致 wget 再也无法下载。 302 其实还算正常现象，除非类似下到应用宝这种烂用情况。

不知道移动和联通劫持方法是不是一致的

/t/237095#reply10

我在这里写过过滤所有移动 302 劫持的规则，用 TCP 的 flag 标志作为区分，使用 u32 模块

然后是 DNS 抢答，也是用 u32 模块

iptables -A INPUT -p udp --sport 53 -m u32 --u32 "0>>22&60@8&0x8440=0x8400" -j DROP
iptables -A FORWARD -p udp --sport 53 -m u32 --u32 "0>>22&60@8&0x8440=0x8400" -j DROP

原理是移动 DNS 抢答一定会带 dns.flags.authoritative 标志位，
但是又和正常的包不一样一定不带 dns.flags.authenticated 标志。
会不会误杀正常的应答包还不确定。

@KCheshireCat DNS 直接用 HTTPDNS

@GeekTest 不知道昨弄的，没办法

@GeekTest 用 mod filter 超废资源,大量的数据都要去 filter 一遍,影响网速的

用 dnspod 的 public dns 119.29.29.29 能解决这个问题吗？

与楼上同问

@KCheshireCat 廣州移動表示加了防止 302 的規則之後
看 douyu 依然 302 到 9999 端口的緩存...

@KCheshireCat 另外也在 merlin 測試了一下那個規則
錯誤返回 x_tables: ip_tables: u32.0 match: invalid size 2032 (kernel) != (user) 1984

@akw2312

我这边地理坐标是浙江移动，不同地区劫持方式可能有差异

你可能需要用 Wireshark 来观察劫持的 302 包与正常的 302 有何区别

然后关于错误我也不清楚什么问题，抱歉。

我是使用 debian testing 发行版作为网关使用的。