我最終給他們的建議是，緩存可以，但要遵循 cache-control 。如果這條簡單的要求都不給滿足的話，那就真是無藥可救了

@andrea
@gaoxt1983
工信部是看郵件的，聯通方面今天回覆了。
我這次花了很長時間寫了一個非常詳細的郵件，講了劫持的技術細節和通俗解釋，講了我個人建議的處理方案，讓他們反饋給相關部門。
如果聯通方面還是繼續耍流氓的話，我覺得這個事情靠投訴或聯通內部已經無法解決了

我专门测试了一下，楼主的地址不管通过电信还是联通访问都会被跳转，具体 IP 跟线路或者地区会变化。
然后我简单抓包看了一下，没有出现劫持时出现的 TCP 抢答现象。具体判别时还要通过比对 TTL 等多种方式。
考虑到电信和联通都要赚互联网厂商的钱，怎么会给你免费缓存，因此更可能这是腾讯自己部署的。

@woyaojizhu8 我个人暂时没有发现电信网络有这种情况。联通的这个劫持系统是全国性的，其他运营商有可能是地方性的吧。

其实用 BIND 搭递归 DNS 是很容易的。我这里有稳定运行了一年的配置。
系统 CentOS 7.2 ，如在 Ubuntu 系统下运行可能需要注意路径差异：

```
//
// named.conf
//
// Provided by Red Hat bind package to configure the ISC BIND named(8) DNS
// server as a caching only nameserver (as a localhost DNS resolver only).
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

options {
listen-on port 53 { any; };
listen-on-v6 port 53 { any; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
memstatistics-file "/var/named/data/named_mem_stats.txt";
allow-query { any; };

/*
- If you are building an AUTHORITATIVE DNS server, do NOT enable recursion.
- If you are building a RECURSIVE (caching) DNS server, you need to enable
recursion.
- If your recursive DNS server has a public IP address, you MUST enable access
control to limit queries to your legitimate users. Failing to do so will
cause your server to become part of large scale DNS amplification
attacks. Implementing BCP38 within your network would greatly
reduce such attack surface
*/
recursion yes;
empty-zones-enable no;

dnssec-enable yes;
dnssec-validation no;
dnssec-lookaside auto;

/* Path to ISC DLV key */
bindkeys-file "/etc/named.iscdlv.key";

managed-keys-directory "/var/named/dynamic";

pid-file "/run/named/named.pid";
session-keyfile "/run/named/session.key";
};

logging {
channel default_debug {
file "data/named.run";
severity dynamic;
};
};

zone "." IN {
type hint;
file "named.ca";
};

include "/etc/named.rfc1912.zones";
include "/etc/named.root.key";



; /var/named/named.ca

; <<>> DiG 9.9.2-P1-RedHat-9.9.2-6.P1.fc18 <<>> +bufsize=1200 +norec @a.root-servers.net
; (2 servers found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25828
;; flags: qr aa; QUERY: 1, ANSWER: 13, AUTHORITY: 0, ADDITIONAL: 23

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;. IN NS

;; ANSWER SECTION:
. 518400 IN NS a.root-servers.net.
. 518400 IN NS b.root-servers.net.
. 518400 IN NS c.root-servers.net.
. 518400 IN NS d.root-servers.net.
. 518400 IN NS e.root-servers.net.
. 518400 IN NS f.root-servers.net.
. 518400 IN NS g.root-servers.net.
. 518400 IN NS h.root-servers.net.
. 518400 IN NS i.root-servers.net.
. 518400 IN NS j.root-servers.net.
. 518400 IN NS k.root-servers.net.
. 518400 IN NS l.root-servers.net.
. 518400 IN NS m.root-servers.net.

;; ADDITIONAL SECTION:
a.root-servers.net. 3600000 IN A 198.41.0.4
a.root-servers.net. 3600000 IN AAAA 2001:503:ba3e::2:30
b.root-servers.net. 3600000 IN A 192.228.79.201
c.root-servers.net. 3600000 IN A 192.33.4.12
d.root-servers.net. 3600000 IN A 199.7.91.13
d.root-servers.net. 3600000 IN AAAA 2001:500:2d::d
e.root-servers.net. 3600000 IN A 192.203.230.10
f.root-servers.net. 3600000 IN A 192.5.5.241
f.root-servers.net. 3600000 IN AAAA 2001:500:2f::f
g.root-servers.net. 3600000 IN A 192.112.36.4
h.root-servers.net. 3600000 IN A 128.63.2.53
h.root-servers.net. 3600000 IN AAAA 2001:500:1::803f:235
i.root-servers.net. 3600000 IN A 192.36.148.17
i.root-servers.net. 3600000 IN AAAA 2001:7fe::53
j.root-servers.net. 3600000 IN A 192.58.128.30
j.root-servers.net. 3600000 IN AAAA 2001:503:c27::2:30
k.root-servers.net. 3600000 IN A 193.0.14.129
k.root-servers.net. 3600000 IN AAAA 2001:7fd::1
l.root-servers.net. 3600000 IN A 199.7.83.42
l.root-servers.net. 3600000 IN AAAA 2001:500:3::42
m.root-servers.net. 3600000 IN A 202.12.27.33
m.root-servers.net. 3600000 IN AAAA 2001:dc3::35

;; Query time: 78 msec
;; SERVER: 198.41.0.4#53(198.41.0.4)
;; WHEN: Mon Jan 28 15:33:31 2013
;; MSG SIZE rcvd: 699

```

@alonga 联通的劫持策略挺诡异的，而且经常变化，最初是连自家机房都劫持的，现在好像基本不会劫持国内线路了，但我也不是太清楚，没时间仔细测试。

遠離國產軟件。
我現在主力系統是 Linux ， Windows 系統很少用了

同投诉好几次，联通相关人员态度恶劣，非让我退网不给解决。

@flowfire 那就可能不是路由器问题。
联通的国际出口带宽已经不行了，而且还搞了劫持，我和一些 V 友投诉了快两个月了都没解决（见 /go/bb ），还是建议楼主如果条件允许的话拉电信吧，据我朋友说上海电信的国际出口比去年好一些了。

@flowfire 你的测试不能说明问题。
127.0.0.1 是本机回环地址，只要安装了 TCP/IP 协议，即使没有装网卡也能 ping 通。
192.168.168.1 是你的网关，这个地址和你在一个网段内，没有跨路由。
楼主 ping 一下 PPPoE 拨号的网关或者 tracert/traceroute 路由追踪试一下吧，或者去掉你本地的路由器。

還有一種可能，如果樓主或樓主的房東用的是 tp-link 路由器，有些型號的 tp-link 路由器不支持 ping(ICMP 協議)

不是基于 systemd 的啊

用这些浏览器的用户根本不 care 这些！+1

@esxivistawrt 反向解析要添加 PTR 记录，主要是看它支不支持 PTR 记录了。
另外， IPv4 地址的反解是 in-addr.arpa 域， IPv6 地址的反解才是 ip6.arpa 。
比如 IPv4 地址 1.2.3.4 的反解域名是 4.3.2.1.in-addr.arpa ， IPv6 地址 2001:db8:1234:5678:90ab:cdef:1234 的反解域名是 4.3.2.1.f.e.d.c.b.a.0.9.8.7.6.5.4.3.2.1.8.b.d.0.1.0.0.2.ip6.arpa

IPv6 有内网地址段 fc00::/7 。
教育网的公网 IPv6 地址应该都是 2001 开头的。
不能从外连的话，可能是有防火墙策略限制。

我觉得是 Google 的 DNS 递归服务器撞墙了

dnsmasq 好像并没有提供这个功能，需要权威解析功能的话还是上 bind 吧。