国内腾讯云上部署的 AdGuardHome,接收到来自德国某研究机构的 DNS 探测

2021-08-07 21:53:14 +08:00
 301

来自 IP 131.159.24.242 ,应该没有恶意,查看日志时发现的,之前经常清日志,没发现,至少从 7.10 开始,每隔 6 个小时请求 test.com 的 A 记录,大概是扫全网的 53,443,853,784 端口找到的 尝试直接访问 IP 的 80 端口,http://131.159.24.242 ,发现居然有说明,好像还挺有意思的

8707 次点击
所在节点    DNS
26 条回复
40EaE5uJO3Xt1VVa
2021-08-07 22:02:22 +08:00
自己部署的 adguardhome,怎么只能自己用。放公网上一堆人扫,挺烦的。

放在自己家的 itx 主机上吧,那些屏蔽规则又又添加不了。

垃圾移动。
learningman
2021-08-07 22:02:44 +08:00
DoQ 收到过,同 AdGuard
learningman
2021-08-07 22:03:34 +08:00
@yanzhiling2001 #1 whitelist 里加上自己家的 IP Range,或者加密 DNS 放非标端口
sky96111
2021-08-07 22:16:00 +08:00
leiakun
2021-08-07 22:49:18 +08:00
最新的测试版 v0.107.0-b.7 已经可以在访问设置-允许的客户端,通过添加客户端 ID 来设置白名单,只允许指定的客户端 ID 请求 dns,其余请求全部丢弃。再也不会出现莫名其妙的 IP 扫描了。
wtks1
2021-08-07 22:52:02 +08:00
在家部署和在服务器上部署还是有差别的,之前就发现很多网站从服务器上解析到的地址,从家里访问是比较慢的,在家部署的请求 dns 才能获取到最合适的线路
ik
2021-08-07 22:52:04 +08:00
⚠️ 奇怪,国内云服务部署 dns,没收到警告?
301
2021-08-07 23:03:00 +08:00
@ik 避开 53 端口,只用 DoT 和 DoH,这样就差不多了
@wtks1 我设的上游是香港的阿里 dns,开 ecs,国内国外都很友好
@leiakun @sky96111 👍 等正式 release 啦
06_taro
2021-08-08 01:16:11 +08:00
想要 doh/dot 限制只能自用的话,可以 tls 中开启 client certificate authentication,然后客户端部分没有你的私钥时 tls 阶段就被断开了
Mitt
2021-08-08 01:24:49 +08:00
@06_taro #9 主要是客户端支持双向认证的不多把,比如路由器,那不就自己也用不了
Mitt
2021-08-08 01:25:35 +08:00
@06_taro #9 而且 AdGuard 我也没看到有双向认证的设置
Mitt
2021-08-08 01:30:14 +08:00
主要是国内私建 DNS 好像是不合法的,所以 UDP53 会被网安扫查举报给腾讯云,我就被举报了,所以建议关掉 TCP/UDP 端口,DoT/DoH 建议不要用默认端口避免也被扫查,否则被屏蔽端口或者封机器就得不偿失了
06_taro
2021-08-08 01:43:24 +08:00
@Mitt 客户端不直接支持的话,前面放一个支持的来拆 tls,或者直接代理 https 都行,Apache Nginx HAProxy 都是支持的,路由器上放开销也不大,主机更没有影响。麻烦的是如果你要用手机直接用之类的。
Mitt
2021-08-08 01:46:34 +08:00
@06_taro #13 我觉得最麻烦的是既然都要前置一个 DNS 来拆 DNS,那为啥不直接在局域网内就搭建一个 adguard home,有点多此一举了
davidyin
2021-08-08 03:32:07 +08:00
看这个 adguardHome 这个 Home 就是让安在家里的。放在外面不合适。
301
2021-08-08 08:23:18 +08:00
@06_taro 主要是给手机用,双向认证的话应该很麻烦,目前准备前置 HAProxy 限制一下 SNI 了
@Mitt 是的,53 和 443 端口都没开,DoT 一直用默认端口,目前没啥问题
gitopen
2021-08-08 10:07:57 +08:00
AdguardHome 。。。 为什么叫 Home 。。。就是在家里用。。。手动🐶
301
2021-08-08 11:23:39 +08:00
@davidyin @gitopen 如果是让在家里用,为啥 AGH 还要支持 DoT DoH DoQ 服务呢🐶
leiakun
2021-08-08 11:53:46 +08:00
@301 国外没有禁止私设 dns,他们可以在家自己建一个 dns 服务自己用也能对外提供服务。想怎么玩都行。
Lantian
2021-08-08 15:12:58 +08:00
不止国外有扫描,,,我还收到不少国内的 DNS 探针。
有的还带域名。请求的是 DoT 通道 twitter 域名的 A 和 AAAA 解析

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/794324

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX