打算做一套专门对付网络劫持/污染的开源工具，目前 DNS 部分已基本完成

我现在桌面已经基本消除劫持了，但手机还是没有解决办法（对 android 不熟）

先 star 再说

说话，你们用过 pcap-dnsproxy 吗， winpcap/libpcap 直接抓包，然后丢掉抢答包

支持楼主，利国利民

@jasontse @lixingcong 翻了下 dnsmasq 的文档，确实 2.73 版之后开始提供类似的功能了。

火线支持，前两天的 http 劫持可是恶心坏了，现在访问个 b 站 还得挂代理。。

@21grams 常见 iframe 插广告，插不好网页都不能看了，高端的下载劫持到运营商内的服务器。

我建议可以去看下 iptables 的 u32 模块

移动这边的 DNS 抢答,http 抢答,302 劫持跳转,单向 RST,BT-DHT, 都是有一定包构造特征的

比如移动在抢答 DNS 的时候一定会带 dns.flags.authoritative 标志位，
但是又和正常的包不一样一定不带 dns.flags.authenticated 标志。

302 劫持也是,tcp 包会标记 ACK ,FIN , PSH.而通常 http 并不使用 PSH 且 FIN 也不和 PSH 同时使用

还有 http 抢答,抢答的报文是有分包的,但是每个包大小都不到 MTU,且 tcp 窗口实际值恒为 0xFFFF

再者 BT-DHT 干扰,抢答包里面协议版本是个没人使用的版本号了,所有抢答包还都是一样长,非常好过滤

我目前都是用 u32 模块进行匹配来 DROP 的,这种抓异常包构造的方法一向很有效

很多情况用现有模块就能做到,不用造个新轮子实现重复功能

我现在就在实验用 IP 头的 TTL 值来过滤抢答包,用的都是现有的模块,

不过为了应付服务器自身 ttl 差异,这个过滤效果还是有待提高

Star

@KCheshireCat 这些问题在做之前都考虑过，能用现有模块解决的当然不会上复杂的东西。 netfilter/iptables 本身在设计上就不擅长处理 5 层的数据，做模块是为了接下来实现一些比较难搞的复杂过滤。

期待早日见到作品~

已 Star

不得不来支持一下！

@jasontse 2.75 版本添加 ignore-address=1.2.3.4 启动失败

@KCheshireCat u32 怎么弄，以前 tomato 用的时候，正常的 DNS 解析都要好几秒。

@imn1 dnscrypt/pdnsd/dnsmasq
配合 iptables 一起食用效果更佳(x)。。

请问楼主大大有没有学习这些东西的“收藏夹”可以分享一下？
我也想自己制作 Windows 和 Android 平台的“多重抗污”工具。
o.o.o@qq.com 万分感谢！

时不时来赞一下~