一般运营商的 dns 劫持也是抢答么

2018-02-11 08:46:55 +08:00
 p64381
在自己指定其他公共 dns 的情况下
10784 次点击
所在节点    DNS
32 条回复
yingfengi
2018-02-11 08:54:26 +08:00
没记错的话,DNS 应该是 udp53 ?
劫持目的地址 udp53,指向自己搭的
fangdingjun
2018-02-11 08:54:44 +08:00
路由劫持
crazytroll
2018-02-11 09:16:32 +08:00
DNS 协议就是这样的 以最先回答的为准
leavic
2018-02-11 09:18:48 +08:00
udp 无连接可以劫持,本质就是抢答。
WuwuGin
2018-02-11 09:19:58 +08:00
而且没记错的话 DNS 也是随机应答的,正常情况下不会总是一台服务器应答。
p64381
2018-02-11 09:31:08 +08:00
@fangdingjun 这样的话 udp dst 53 的包就出不去了吧
mt7620
2018-02-11 09:34:34 +08:00
直接把所有发到 UDP 53 的包转发到自己的 DNS 服务器就好了,不用抢答这么麻烦。
iPhone8
2018-02-11 09:43:19 +08:00
感觉楼上计算机网络都学的特别好
zjcqoo
2018-02-11 09:44:44 +08:00
写个工具验证下就好了。注册个域名 ns 到自己服务器上,看看返回的结果后自己服务器上有没有日志。
mengdisheng
2018-02-11 09:54:39 +08:00
问个问题 是不是用 https2.0 的话运营商很难劫持?
q397064399
2018-02-11 09:55:41 +08:00
@iPhone8 #8
劫持的话 ,其实看原理吧, 公网只谈 IP 协议,NAT 的话 一般是 UDP 发出去,然后 只有对应的 IP 的 53 端口才能响应数据回来,简单的来讲是 本地 ip udp 3123 -> 远程 ip udp 53 ,远端 ip 只能 53 端口 往回发到本地的 3123, 远端换个 ip 或者换个端口 这个 NAT 就根本通不过
q397064399
2018-02-11 09:57:01 +08:00
@iPhone8 #8 所以总结的话 ,应该就是直接劫持了 IP 报文,然后伪造了一个 IP 报文
misaka19000
2018-02-11 10:29:38 +08:00
@mengdisheng https 还有 2.0 ?涨姿势了
mengdisheng
2018-02-11 10:32:44 +08:00
@misaka19000 写错了。。http2 好像防劫持跟 http2 没什么关系
jmhjhjhj
2018-02-11 10:33:35 +08:00
用 dnssec 岂不美哉
goofool
2018-02-11 10:42:20 +08:00
把 dns 请求重定向到自己的服务器上就行了
q397064399
2018-02-11 12:34:33 +08:00
@goofool #16 IP 报文 过不了 NAT,不光重定向,IP 报文的源地址 也要修改
q397064399
2018-02-11 12:36:43 +08:00
goofool
2018-02-11 14:01:15 +08:00
@q397064399 一般家用路由器都是 full cone,哪有过不去的
ytjfmv
2018-02-11 14:09:55 +08:00
@mt7620 我这的网络不劫持, 想知道劫持的地方的网络是什么情况

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/430107

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX