求推荐靠谱的防 dns 污染方案

2018-05-02 22:47:33 +08:00
 whatsmyip

入了一个 Google Home,需要配置路由器全局,用的树莓派

也用 redsocks 转发了流量

然而,DNS 解析这一块还没解决,结果老是被污染 返回了一堆 fb 的 ip

试了一些方案,试图绕过坑爹的 UDP

henices/Tcp-DNS-proxy 这个,似乎是基于 TCP 协议,但是不知道为什么,访问日志里依旧出现 69.171.247.32 这种 IP

还试了腾讯的 httpdns,吹的天花乱坠,但是返回结果依旧是被污染的

还剩下一个 dns.google.com 基于 https,理论上没有问题,可是没有找到转换的代码

要是没有其他方案的话,就要自己造轮子了。。。

31388 次点击
所在节点    问与答
54 条回复
Cipool
2018-05-02 22:54:34 +08:00
直接换用位于国内的无污染 DNS 试试
@googlehosts #防污染 DNS
主要服务器:140.143.226.193 (非实时查询上游,5 分钟缓存)
备用服务器:120.132.13.50 (实时查询上游,无缓存)
whatsmyip
2018-05-02 22:57:08 +08:00
@Cipool 我在教育网,试过中科大的,no luck
Love4Taylor
2018-05-02 23:04:51 +08:00
如果你到 Google Public DNS 不丢包 不被完全劫持的话 可以试试 chinadns2, 利用 EDNS 防抢答...
LazyZhu
2018-05-02 23:07:10 +08:00
rosu
2018-05-02 23:07:47 +08:00
有点疑问,既然是全局,为什么还会被污染?
whatsmyip
2018-05-02 23:13:57 +08:00
@rosu 网络所在层不一样,先解析得到 IP,然后才转发
hzqim
2018-05-02 23:16:48 +08:00
假设你用的是 OpenWRT,而且已经有了 socks5 ;
来一个 dns2socks 走 socks5 向 8.8.8.8 询问 ip,还支持 CDN。
采用支持 regex 的 dnsmasq 通过关键字(而不是域名)走 dns2socks5 进行解析,国内的域名走 ISP 分配的 DNS 解析,因为免去了维护网址的步骤,特方便。
这个方案,只要 socks5 能通就能正确解析,若 socks5 不通,防污染也失去了意义。

目前最满意的方案!
rosu
2018-05-02 23:19:31 +08:00
@whatsmyip 这样子的话...不是和没有梯子没什么区别吗?不知道我有没有理解错。

因为 DNS 本身也会被投毒的,如果不在本地 PAC 做判断,DNS 也不一定能返回正确结果给你的吧?
LazyZhu
2018-05-02 23:23:02 +08:00
@hzqim
还有一种方法
只要 DNS 支持 ECS( https://en.wikipedia.org/wiki/EDNS_Client_Subnet),就可以指定 ECS 为代理 IP 也可以获得最好的解析.
Cipool
2018-05-02 23:26:56 +08:00
@whatsmyip 中科大支持 5353 端口解析
我发的那两个支持 2333 端口解析
换用特殊端口应该可行吧
t123yh
2018-05-02 23:32:26 +08:00
hzqim
2018-05-02 23:32:56 +08:00
@LazyZhu #9 谢谢指点,在你身上学到很多,感恩!
chotow
2018-05-02 23:38:54 +08:00
歪个楼,为什么被污染的,都会解析到 FB ?
whatsmyip
2018-05-02 23:40:15 +08:00
@Cipool 重置了一下,依旧。。。
songz
2018-05-02 23:46:49 +08:00
树莓派弄个 pi hole
xiaozecn
2018-05-03 00:12:04 +08:00
@rosu 印象里这种都是内置 8.8.8.8,而不是用路由器分配的。所以几种路由器插件都有一个 DNS 劫持功能
EsWann
2018-05-03 00:25:51 +08:00
纯净无污染 DNS: https://pdomo.me
bazingaterry
2018-05-03 00:29:55 +08:00
GitHub 搜 overture
chenyx9
2018-05-03 00:37:18 +08:00
我只是推断,不敢肯定。很可能如 16 楼所讲需要劫持 8.8.8.8 到路由,我的 Chromecast 就是这么干的。
maowu
2018-05-03 01:15:08 +08:00
8.8.8.8 支持 tcp 嘛,考虑一下自己劫持 dns 查询丢到隧道发出去

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/451599

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX