在老家用香港 cmhk 手机卡漫游，访问 google 会被 dns 污染，在深圳广州就没有这种情况，是怎么回事？

@shermano 刚才客服也回复我了，说是香港这边的配置没问题，会去调查我老家那边的情况

移动有拜访地接入，但是香港的卡应该是直接走香港 ggsn 的，各地区设置不同吧。

@hlz0812 我记得移动 n 年前发文说明了使用第三方 dns 可能对移动用户造成“用户体验下降”，所以很多地方就搞了 dns 劫持，cmhk 应该是误伤。

@txydhr 但 dns 劫持非公网流量也是第一次见，好比你挂了 v 上网，移动还能劫持你的 dns 一样，正常来说本地 dns 劫持根本没法劫持专线上的流量

@xiaocongcong 你那里的 cmhk 也被污染了吗？

今天在深圳刚用了 CMHK 没发现问题

cuniq hk，坐标深圳也有 google 被污染的情况，我群里也已经有两三个人反应了，西安广州都有，我是用 1.1.1.1 解决了。

@hlz0812 可能没加密？有点类似于 ipv6 tunnel 也会被劫持和 reset ？虽然已经是专线了但是还是触发了关键词

@txydhr 唉，毕竟不是专业的，不知道从连接的中国移动基站到 cmhk 香港机房这段具体怎么配置的，有没有国际通用的标准。

@txydhr 可能移动用公网建立隧道回源了，隧道回源有几种方式：
1.运营商间点对点专线
2.公网上建立 v p n
3.专线连接到国际网络交换中心（实际也是专线，节省投资而已）

公网基本没几家用的

4 楼的 "已启用加密 dns，现在能正常上网" 很有意思。
据我了解墙是分多种的。 正常来讲，dns 污染设备是在地级市都会有一套。各种 http/https 发 reset 往往是在出口前一跳。

我想应该是 dns 查询无状态所以更容易识别，所以全国大规模部署；而后者需要保存状态，需要用大量计算资源（集群），所以集中处理。anyway 重点是显然这两套系统是分开部署的。

照理说如果是拜访地接入，那么享受的恐怕就是普通强国内网的待遇了，解决了 dns 污染肯定还是上不了网的。所以不可能。

如果是纯粹的归属地接入，如果是 DNS 配置了大陆的 DNS 才出问题，那加密访问也不行，所以不可能。如果 DNS 配置了墙外的 DNS，那一开始就不应该有问题。

所以感觉可能解释是，某些地方的移动的 DNS 无差别劫持，然后误伤到漫游用户。劫持后因为过墙，所以还是被墙。

还有种可能就是有意为之，单独部署了一套 DNS 抢答设备。毕竟到处都是。

我前阵子在美国使用 AT&T 的卡是发现了一件事。感觉劫持 DNS 请求是国际惯例。

背景：我自己写了一个小型 DNS 服务器，部署在我的服务器上，用于动态解析。监听 UDP 53。这个服务器除了相应标准的请求外，还会接受一些我自定的非标准的命令（比如更新 A 记录，这样我家里 IP 地址变动是就向其发送一个这种包），和 DNS 一样都是由 UDP 53 完成（懒得再监听其他端口）。

我在家里的网测试，不管是 DNS 请求还是别的，都是通的。
诡异的是，我在用 4G 测试时，只有发送标准的 DNS 请求，服务器才收得到（当然那一头源 IP 是 AT&T 的网关）。如果往 UDP 53 发送非标准数据，另一头就收不到。

理论上 IP 网应该都是至少在传输层 /应用层透明的才对，可是这个事说明运营商会对 UDP 53 应用层的数据进行分析，分流，过滤。

@xieyudi 感觉有意为之可能性较大，因为一般意义上的 dns 抢答用于公网，隧道回源都可以被劫持那大概率在专线上有审查设备，毕竟传输的协议都不一样

@hlz0812 已经反映了好几天了，还没解决，已经打电话去催了

楼主不提供一下被劫持时候手机公网 ip 吗？
ip 都没看到就一堆猜测拜访地接入的
看一下手机分配的 dns 地址是什么
该自己解决的一定要问别人吗

@leido 早就测试过了，分配到的是百分之百的香港 ip，至于分配到的 dns，请问怎么看

@chen0717 下个 Best trace （ ipip.net 出品）

@leido 测出来的 dns 该不会只是内网地址吧？

@chen0717 没有哪个运营商的 dns 是内网地址

@hlz0812 纯假设：也有可能 cmhk 的流量到地市级或者省级机房才进入专用隧道回港（反正在墙之前），而当地的 dns 抢答设备设在了区县甚至基站处，而国外运营商可能从基站处就进入专用隧道了。