境外手机卡大陆漫游 dns 污染问题

2019-03-08 19:31:26 +08:00
 trepwq

cmhk 使用了几个月发现有些省 dns 解析 google 会被污染,只有谷歌,fb、tw 都没有发现污染,多次查询发现还是能收到正确的解析,相同情况也被用 cuniqhk 的网友发现,感觉这些省在靠近终端附近部署了 dns 抢答设备,或者还有其他原因?我的 google fi 没来得及测试就被我取消服务了,但是估计和香港卡一样。

9122 次点击
所在节点    宽带症候群
55 条回复
trepwq
2019-03-08 19:36:01 +08:00
既然 dns 能被抢答,那其他流量是不是也能被审查
youngzy
2019-03-08 20:22:21 +08:00
dns 能够被抢答是因为普通的 dns 没有校验,其他流量只要是明文的当然也能被审查。
tetora
2019-03-08 20:34:43 +08:00
下一次扎克伯格来要改 hosts 了?
hlz0812
2019-03-08 20:41:51 +08:00
ios 的话可以用 surge 看响应 dns 的 ip 是不是香港的,理论上是隧道回源的,大陆任何设备无法干涉,因为正规的归属地接入方案拜访地只做数据转发,不对数据进行更改,也不会使用拜访地 dns
leedstyh
2019-03-08 21:01:32 +08:00
我用的 cuniq uk,网页什么的都能打开,但是打不开 google play,这是怎么回事呢
laidycy
2019-03-08 22:30:41 +08:00
fi 似乎没发现有 dns 抢答的情况
bclerdx
2019-03-08 22:54:00 +08:00
@hlz0812 那就是远端解析了么?
hlz0812
2019-03-08 23:15:34 +08:00
@bclerdx 网关都在香港,为什么要在大陆解析?除非动了手脚,网关在大陆,只是使用了香港 ip,国际专线出去,而且 cmhk 也不会傻到给漫游网关分配大陆 dns 吧?确实漫游用的网关和在本地的网关不是同一个,但是没理由使用大陆的网关
hlz0812
2019-03-08 23:21:11 +08:00
@bclerdx 不过香港分公司大陆这边肯定有权要求留后门的,目前出现这个问题的都是大陆运营商的海外分公司,海外本地的运营商的卡漫游过来从来没听说过这个问题,但个人还是倾向于自己设备问题,旁路监听核心网不容易啊,更别说对加密的数据更改了,又不是明文传输的,明文传输还可以模拟 dns 返回个假的解析( cmhk 和 3hk 反正都没听说过,这是第二次看到这个问题,我怀疑手机问题,反正苹果从来没有这种问题,安卓可能因为双卡导致一些缓存错误解析,具体也不清楚,我只能说苹果没遇到过)
ThirdFlame
2019-03-08 23:30:39 +08:00
正常情况下 境外运营商的流量 会通过大陆运营商的 vpn 隧道回到 境外的运营商处,再出去。 也就是 ip 地址显示为归属运营商。
所以外国友人来国内 才能无需任何设置的访问 fb 等网站。

理论上 和 业务结算上来说 不会使用本地的 dns。
Actrace
2019-03-08 23:52:45 +08:00
兄弟们想多了,不管是不是漫游,所有流量都要过墙的,只是墙要不要作出处置而已。
hlz0812
2019-03-09 00:00:42 +08:00
@Actrace 数据在核心网传输到出口前的协议根本不是公网的协议好不?墙怎么监听?除非墙针对任何通信协议都开发一套策略,那这墙厉害了,连核心网都能监听,那监听你的通话和短信也不是问题,甚至拦截一些境外黑名单电话和短信关键词过滤也轻而易举,目前没有相关证据表明墙可以监听识别非公网的加密信息,你说国际专线过墙我还信,毕竟上面跑的也是公网协议,但如果套一层 vpn 隧道即使是建立在公网上,墙也没本事单独把 dns 抽出来污染
dlsflh
2019-03-09 00:04:53 +08:00
@hlz0812 要看懂你说的这些,要看些什么书?
LukeChien
2019-03-09 00:11:18 +08:00
配合 Android 9 的 DNS over TLS 就完美了,不知道国行的安卓系统会不会被阉割。
hlz0812
2019-03-09 00:12:28 +08:00
@dlsflh 去找一下关于 LTE 核心网结构的资料吧,到出口前结构和公网完全不同,也不是什么 vpn 隧道,就是专线承载,好像知乎上一个回答对于归属地接入和拜访地接入的核心网结构解释的很清楚了,进入 IP 网络之前完全与公网无关
rsy
2019-03-09 00:16:35 +08:00
@LukeChien 反正小米是阉割了
Love4Taylor
2019-03-09 01:35:13 +08:00
@rsy 据说只是割掉了入口 没完全干掉?
shiji
2019-03-09 02:05:35 +08:00
有没有可能是你中间连了墙内的 WIFI,手机本地 DNS 有缓存?
titanium98118
2019-03-09 09:38:31 +08:00
我昨天用 google fi 试了一下,没有这个现像。
wdlth
2019-03-09 10:19:24 +08:00
没发现污染,用的是 CMHK 的 DNS。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/542622

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX