打算做一套专门对付网络劫持/污染的开源工具,目前 DNS 部分已基本完成

2016-05-15 23:19:29 +08:00
 raysonx
众所周知天朝的网络环境非常烂,各种运营商劫持防不胜防。于是打算利用业余时间做一套开源工具集,过滤各种天朝特色的花式运营商劫持。
GitHub 传送门: https://github.com/hijackfilter/hijackfilter

主要打算做一些 netfilter/iptables 拓展,这样这些过滤模块就可以高效地在 OpenWrt 、 dd-wrt 等基于 Linux 的路由器上跑。感兴趣的朋友们可以来一起贡献代码。

目前匹配 DNS A 记录的 iptables 模块已基本完成,可以将运营商伪造的 DNS 回应匹配出来,进行丢弃或更改。
下一步还会做匹配 HTTP 302 劫持的模块。
9465 次点击
所在节点    分享创造
60 条回复
shuiyingwuhen
2016-05-16 08:51:29 +08:00
混一个脸熟,现在我参与测试
lixingcong
2016-05-16 08:56:34 +08:00
dnsmasq 从 2.73 开始具备 dns 答复 ip 过滤功能
qq5745965425
2016-05-16 09:08:47 +08:00
支持 支持
rubyvector
2016-05-16 09:17:57 +08:00
支持,有技术,有想法,还实现了.赞一个
JackBlack2006
2016-05-16 09:37:12 +08:00
@lixingcong 愿闻其详?
raysonx
2016-05-16 09:50:34 +08:00
@jasontse
@lixingcong
目前实现的 DNSfilter 只是这个项目的底层模块之一,主要用来过滤到上游链路之间的旁路设备的抢答报文。
dxwwym
2016-05-16 09:52:10 +08:00
今天青岛联通 Safari 访问贴吧时终于一睹小球真颜,
clino
2016-05-16 09:52:40 +08:00
原理是什么? 怎么识别运营商劫持的部分呢?
adrianzhang
2016-05-16 09:56:06 +08:00
@jasontse 如果有的设备不需要 dnsmasq ,防火墙过滤是最好的选择,开销低且各种设备都有。采用应用级的过滤好处是灵活容易,坏处就是开销大(不仅是网络开销,还有系统开销)以及要部署相关应用,适应性低。
raysonx
2016-05-16 09:56:29 +08:00
@clino 目前的想法是按规则过滤。之后会做一个管理工具,至于生成和导入规则。
raysonx
2016-05-16 09:58:39 +08:00
@adrianzhang DNSmasq 实现的是把黑名单中的响应替换为 NXDOMAIN , OpenWrt 上默认跑的就是。这个防火墙模块和 DNSmasq 在功能上并不是重叠的。
clino
2016-05-16 10:00:18 +08:00
@raysonx 我是问怎么识别? 识别出来才能过滤吧 不太明白是如何识别的
commonhub
2016-05-16 10:03:29 +08:00
dnsmasq 里把 114so 这种污染的 ip 设为 bogus-nxdomain 就可以。
github 上面有个轮子了 https://github.com/felixonmars/dnsmasq-china-list/
现在的解决方案是 dnsmasq 里部分墙网址指定 nameserver=/t66y.com/127.1#53535 ss-tunnel 给 8888
默认 dns 是 isp 给的,返回结果如果和 bogus-nxdomain 一样就直接扔了
raysonx
2016-05-16 10:05:05 +08:00
@clino 具体规则是要人工干预的,不可能通过机器自动生成,因为各种劫持、污染的情况非常复杂,还要同时考虑性能和误杀率。
因为使用这种工具的人不可能是小白用户,所以不必做的过于傻瓜化。
目前的想法是提供一个客户端的工具协助用户调试新的规则。对于大规模存在的相似劫持,直接放在 GitHub 上维护。
onemoo
2016-05-16 10:05:19 +08:00
DNS 劫持还好说。最恶心的是 http 插入 iframe 广告,对付这个有什么好办法吗?
raysonx
2016-05-16 10:08:13 +08:00
@onemoo 这种一般是用旁路设备伪造 HTTP 报文。下一步做的 httpfilter 的主要就是应对这种情况。
至于怎么做最好、最方便、最灵活,还要靠大家一起讨论想办法。
aivier
2016-05-16 10:09:06 +08:00
昨天遇到联通劫持 JS ,然后重定向到自己的服务器上,反代,插广告,而且还是黄网....
JackBlack2006
2016-05-16 10:12:22 +08:00
@aivier 直接向扫黄打非办公室举报:doge:
dreammes
2016-05-16 10:25:24 +08:00
强烈👍🏻支持
21grams
2016-05-16 10:25:53 +08:00
你们说的运营商劫持究竟指的是啥? 我一直用 114 的 dns 没发现有什么问题。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/278835

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX