广州联通 DNS 挟持把我看呆了

2016-01-26 02:23:26 +08:00
 bazingaterry

使用的是 DNSPOD 的公共 DNS ,然后国外 IP 通过 ChinaDNS 走 5353 端口,嗯这不是重点。

突然 Goolge 上不去了,很费解。

$ dig www.google.com.hk +short
120.52.73.138

IP : 120.52.73.138 来自:河北省廊坊市 联通沃云

我晕,联通你内网 SNI PROXY 我可以接受,但你别瞎 xx 挟持啊。

请教各位,国内有支持非 53 端口的公共 DNS 吗?

10318 次点击
所在节点    宽带症候群
35 条回复
sailtao
2016-01-26 03:41:09 +08:00
今天晚饭时还与同事聊到这个话题,简单说下吧,在大局域网内使用了一些国外 IP ,并且也分配给用户也是国外 IP ,当普通(不翻墙)访问这些 IP 的时候实际是访问局域网内某个设备,所以之前有人出现了 ping 8.8.8.8 延迟非常低的情况,这招是不是比墙来的更简单有狠呢。
dzxx36gyy
2016-01-26 06:59:48 +08:00
@sailtao 移动帮 8.8.8.8 在内网做“ anycast ”(劫持) _(:з」∠)_,延迟超低
zyqf
2016-01-26 07:06:36 +08:00
http://dns.sspanda.com/

直接填这个 dns,就可以了
raysonx
2016-01-26 09:31:03 +08:00
果然,之前搞劫持代理被投訴後開始玩新花樣了。
如果只是聯通的自建 DNS 會解析到緩存服務器就算了,如果第三方或自建 DNS 也這樣的話,投訴。
heyf
2016-01-26 09:47:02 +08:00
https://www.v2ex.com/t/252181

联通也是“好”心🙈
raysonx
2016-01-26 10:20:50 +08:00
@bazingaterry 北京聯通暫時未發現此現象,不過也許是因為我經常投訴被特殊「關照」了。
@heyf 關鍵是「好」心辦壞事。看來聯通確實是窮了,沒錢擴充骨幹網帶寬,只能靠劫持緩存來緩解了。
xmoiduts
2016-01-26 10:27:26 +08:00
@raysonx 我听过这样的一种方法,不知道可行性如何:

允许 cdn 服务商和网站将少量服务器部署在运营商内网,并将资源解析到它们上面。这样既不跨网,又不算劫持。

不知道这和 bgp 机房有没有关联。
raysonx
2016-01-26 10:36:12 +08:00
@xmoiduts 得到網站和 CDN 服務商的准許當然就不算劫持了,但這樣的話聯通那套東西不就成了 CDN 了麼。聯通現在瞎搞劫持肯定會導致大量問題的。比如將境外服務器解析到內網,天呐,網絡中又不是只有 HTTP 協議,你讓各種其他協議怎麼辦,比如我用 SSH 登錄機器會被搞成登錄聯通的緩存服務器?所以,聯通絕對腦子抽風了。
xmoiduts
2016-01-26 11:01:55 +08:00
@raysonx 我不用联通的宽带,家里方正用这组劫持服务器下载静态资源却比直连还要快(方正也有缓存服)。当然我知道这是缓存。以后考虑用它们加速下载,重要文件校验 md5 。 ssh 也劫持的话那可真是坑了。
raysonx
2016-01-26 11:07:46 +08:00
@xmoiduts 感覺以後全站 HTTPS 是趨勢。國外的大型網站很多都全站 HTTPS 了,國內淘寶、百度的搜索服務已實現全站 HTTPS ,京東也在內測全站 HTTPS 。隨著 HTTPS 的普及,劫持已經變得越來越沒意義了。
xmoiduts
2016-01-26 11:22:52 +08:00
@raysonx 是的,出去看看,基本是个站就 https 。以后内网正规 cdn 才是减少跨网流量的正解。
ykqmain
2016-01-26 11:33:50 +08:00
@raysonx 没想到国产软件流氓, 连网络提供商也这德行, 这特么都是跟谁学的.
xmoiduts
2016-01-26 11:37:54 +08:00
@ykqmain 所有的行为都只是成本,既然劫持既能省流量,又不会带来罚款,运营商“何乐不为”呢?
yexm0
2016-01-26 11:39:55 +08:00
坐等电信也作死
ykqmain
2016-01-26 11:51:40 +08:00
@xmoiduts 心寒, 我对网络有强烈的去求,国内的 软件, qiang, 网络, 没一个舒心的.
我已经打算出去了
xmoiduts
2016-01-26 12:01:11 +08:00
@ykqmain 基本生活条件满足之后,显然需要更高的需求。我对未来还很迷茫,听说出国读书要划掉家里一辈子的积蓄。我这种 gpa 不到 3 的学渣还是再看看形势吧。这个假期初涉 linux 和 py ,评估一下适不适合我用咯。
sailtao
2016-01-26 12:03:18 +08:00
这个靠 DNS 和 https 都无法解决,地址解析正确,但是路由把你引导去了伪设备,只有 VPN 这类方式出去了才能有效解决
raysonx
2016-01-26 12:36:09 +08:00
@sailtao 對於聯通這種規模的運營商來講,你說的這種方法成本太高了,當然他們要是誠心搞還是能搞出來。
不過劫持總是有辦法發現的。
Khlieb
2016-01-26 14:23:06 +08:00
sailtao
2016-01-26 14:38:06 +08:00
@raysonx 已经是这么做了,设置 IP 和加入路由规则都可以人工批量完成,超低成本才对

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/253367

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX