广州联通 DNS 挟持把我看呆了

2016-01-26 02:23:26 +08:00
 bazingaterry

使用的是 DNSPOD 的公共 DNS ,然后国外 IP 通过 ChinaDNS 走 5353 端口,嗯这不是重点。

突然 Goolge 上不去了,很费解。

$ dig www.google.com.hk +short
120.52.73.138

IP : 120.52.73.138 来自:河北省廊坊市 联通沃云

我晕,联通你内网 SNI PROXY 我可以接受,但你别瞎 xx 挟持啊。

请教各位,国内有支持非 53 端口的公共 DNS 吗?

10318 次点击
所在节点    宽带症候群
35 条回复
suikator
2016-01-26 14:53:47 +08:00
114dns 支持 tcp 查询
raysonx
2016-01-26 15:01:10 +08:00
@sailtao 之前不管劫持 TCP 的方式還是劫持 DNS 都是通過旁路搶答的方式,通過交換機的鏡像口就可以部署,還可以輕鬆控制劫持的頻率和規則。
如果按你說的方法,會導致所有流量被引入這些緩存服務器,不管是 HTTP 還是其他流量。相對於中國這麼大的互聯網來講,對處理能力的要求可能比雙十一還要恐怖得多,更不用提如何保證各種加密流量和自定義協議的通信了。
ykqmain
2016-01-26 15:12:37 +08:00
@xmoiduts 同样在学习 Python, 学习也不咋地 = =
raysonx
2016-01-26 15:14:29 +08:00
@sailtao 哦對了, HTTPS 流量是無法緩存的,因為無法解密,而且密文無法重放。
sailtao
2016-01-26 15:32:21 +08:00
首先需要访问这些 IP 的人不会特别多,其次把需要被访问的 ip 配置到交换机,再用交换机做负载均衡,除了响应 ping 的数据包,其他包全部抛弃,除非你有超大流量 DDOS 攻击能堵死,可是堵死了又能怎样,就算不把 IP 挂载到设备,任何响应都没有,让你在局域网内出不去的目的达到了
sailtao
2016-01-26 15:37:12 +08:00
@raysonx 你还没想明白,不需要你能访问,目的是让你在局域网内出不去,即使这些需要被访问的 IP 没有任何设备承载,目的已经达到,如果能 ping 通或能被访问,我还担心记录的操作呢
raysonx
2016-01-26 15:49:05 +08:00
@sailtao 從目前聯通的動作來看,它只是為了節省網間互聯的流量費用而已,並沒有切斷連接的意圖。你說的這些觀點太可怕了,目前還沒有見到這麼做的跡象。
sailtao
2016-01-26 17:25:24 +08:00
@raysonx 运营商是交国际节点带宽的费用,不是按流量收费的,关键是省了墙持续研发的钱
sailtao
2016-01-26 17:46:14 +08:00
@raysonx 我说的这些所有运营商的在做了,只是目前对家庭用户,商业用户还是 OK 的。
kokutou
2016-01-26 18:02:18 +08:00
@xmoiduts
@ykqmain
在学 py+1
最近学用 struct 解包游戏资源,发现比 c 好用很多啊。。。 c 要搞个把小时, py 十几分钟。。。
datocp
2016-01-26 21:04:53 +08:00
至少本地电信也是这样,所以上次配置 chinadns 时已经失效,解析 google 随机返回 百度或者阿里的网站。。。至少在 2015 年夏天用 pdnsd 类似方法还是正常的。自己又习惯用电信的 dns 。最后只能所有非国内网段走 vpn , gfw list 上的域名用 dnsmasq 载入 server=/google.com/8.8.8.8 ,但是还是发现有部分国外域名无法正常解析。

当然了电信这么做到底是阴谋论,还是其它问题不得而知。在 DNS 版块,早些时候也有朋友建立自己的 DNS 服务器,但是也是频繁被污染最后放弃了。所以本地电信 ISP 到底是有意为之,还是无意被间接污染就不清楚了,电信连自己的备用 DNS 不工作都不清楚。。。但是至少上网是麻烦多多,又不能多说什么。。。谁叫这些网站本来就不存在。。。

可能 dnsmasq.conf 这样配置就大概可以解决一些国外域名无法解析的问题,奇怪的是电脑按这个配置文件淘宝解析出来的是国内 ip ,平板上又是美国 ip ,也不知道这个 strict-order 怎么工作的。

bogus-nxdomain=60.191.124.236
no-negcache
strict-order
server=8.8.4.4
#server=4.2.2.2
server=61.153.177.197
raysonx
2016-01-26 22:51:52 +08:00
已在路由器裡面把這段地址拉黑了:
iptables -I FORWARD -d 120.52.72.0/23 -j REJECT --reject-w
ith icmp-net-prohibited

對於 OpenWrt :
iptables -A forwarding_rule -d 120.52.72.0/23 -j REJECT --reject-w
ith icmp-net-prohibited
akw2312
2016-01-27 00:01:58 +08:00
@raysonx 聯通好像是通過 DNS 劫持整個劫持走?
台灣這邊 hinet 的做法比較適合點 只劫持走「 TCP 80 端口」 其他端口、 UDP 、 ICMP 全部都不劫持
=> 這東西多數用於大型視頻站上面 但是人一多還是卡的要死 ww
LGA1150
2016-01-27 14:07:34 +08:00
配置 6in4 隧道,然后用 2001:4860:4860::8888
bclerdx
2016-02-15 14:27:38 +08:00
@raysonx 那对于 Tomato 路由器系统呢,怎么写这个语句?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/253367

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX