怎么判断 DNS 是否被宽带运营商劫持

9hills

2016-08-18 07:53:35 +08:00

dig www.twitter.com @208.67.220.220
dig +vc -p 443 www.twitter.com @208.67.220.220

多尝试几次，如果两者结果显著不同，证明这个域名被 DNS 污染了，但是污染点不知道，可能是运营商，可能是 GFW

9hills

2016-08-18 07:55:16 +08:00

比如说：

dig www.twitter.com @208.67.220.220
;; ANSWER SECTION:
www.twitter.com. 2932 IN A 93.46.8.89

;; Query time: 5 msec

5ms !， opendns 可没在国内做 anycast ，这么快一定有猫腻..

正常一点的
dig +vc -p 443 www.twitter.com @208.67.220.220

;; ANSWER SECTION:
www.twitter.com. 377 IN CNAME twitter.com.
twitter.com. 48 IN A 104.244.42.129
twitter.com. 48 IN A 104.244.42.1

;; Query time: 193 msec

CNAME 被污染成了 A 记录，也是没谁了。。

tony1016

2016-08-18 09:09:45 +08:00

注意，楼主说的是运营商劫持。那我告诉你，如果你用运营商的 DNS ， 100%劫持……

liyer

2016-08-18 09:49:51 +08:00

上京东淘宝苏宁易购看看是不是先跳转到亿起发然后再转向目标网站

UnisandK

2016-08-18 10:10:06 +08:00

问：如何判断 ISP 劫持而导致您无法使用 114DNS ？

答：命令行输入 nslookup whether.114dns.com 114.114.114.114 ，如果返回的结果有 127.0.0.X ，说明您的 ISP 劫持了 114DNS ，导致您无法使用 114DNS 的服务。

anyclue

2016-08-18 10:14:35 +08:00

要查劫持不是查污染的话， nslookup 一个不存在的域名看返回啥就知道了

nslookup jueduibucunzai.com
服务器: SJZ-CA6
Address: 222.222.222.222

非权威应答:
名称: jueduibucunzai.com
Address: 218.30.64.194 （说明被劫持了，返回的是个电信的 IP ）

再来，用 8.8.8.8 解析看看

nslookup jueduibucunzai.com 8.8.8.8
服务器: google-public-dns-a.google.com
Address: 8.8.8.8

*** google-public-dns-a.google.com 找不到 jueduibucunzai.com: Non-existent domain （ Google 说没这域名就，上面电信你们家咋还能解析出来）

pright

2016-08-18 10:30:07 +08:00

@anyclue 这个是可能有的，会返回一个域名纠错页面，像我现在联通下就会返回一个 nfdnserror14.wo.com.cn 的页面

anyclue

2016-08-18 11:05:30 +08:00

@pright 那就说明被联通劫持了啊

pright

2016-08-18 12:20:14 +08:00

@anyclue 这个只能说明联通针对没有响应的域名给了一个默认的响应，不能说明其它正常域名被劫持了

anyclue

2016-08-18 13:02:38 +08:00

@pright 不存在的域名为什么要给响应呢？谁用你给呢？这不就是劫持吗？那你理解的怎么算劫持啊？

imn1

2016-08-18 13:07:14 +08:00

用 privoxy （不走梯子）没有广告的，就是 DNS 劫持 only
如果仍然有广告的，就是 http 劫持
反正都有

不过，我怀疑 LZ 问的是自己的网站？

UnisandK

2016-08-18 13:11:02 +08:00

@anyclue 那这个也是劫持咯？

ovear

2016-08-18 13:57:50 +08:00

为什么这么久还没人说
dig +trace

anyclue

2016-08-18 14:05:00 +08:00

@UnisandK 难道不是吗？

UnisandK

2016-08-18 14:13:13 +08:00

@anyclue 那运营商把所有目标为 53 端口的 UDP 查询全部转向自己的服务器的行为应该怎么称呼呢？

anyclue

2016-08-18 14:18:16 +08:00

@UnisandK 呃，劫持啊

bclerdx

2016-08-18 23:01:58 +08:00

@UnisandK 为什么说没有在域名服务商的系统上配置“艾特”解析的，是不能直接使用顶级域名或地区顶级域名访问，而必须要输入二级域名才能访问呢？

raysonx

2016-08-19 00:01:19 +08:00

@bclerdx 当然有啦，比如：

$ dig io. @8.8.8.8

; <<>> DiG 9.10.4-P2-RedHat-9.10.4-1.P2.fc24 <<>> io. @8.8.8.8
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 38591
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;io. IN A

;; ANSWER SECTION:
io. 17641 IN A 193.223.78.212

;; Query time: 518 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Aug 19 00:00:37 CST 2016
;; MSG SIZE rcvd: 47

bclerdx

2016-08-19 22:30:06 +08:00

@raysonx 看不懂，什么意思？

wswj

2016-08-19 22:40:15 +08:00

@anyclue 你这完全就是抠字眼，这种“劫持”和移动把所有 53 端口都劫持了能是一回事么

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/300055

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.