V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hadami
V2EX  ›  DNS

114dns 也开始劫持用户 dns 了

  •  
  •   hadami · 2024-06-03 08:18:44 +08:00 · 9726 次点击
    这是一个创建于 463 天前的主题,其中的信息可能已经有所发展或是发生改变。

    114.114.114.114 似乎开始测试劫持系统了

    ping 域名返回 Ping abc.test.com [69.167.164.199]

    其他 dns 都正常,这应该是在测试接入反诈骗系统

    第 1 条附言  ·  2024-06-03 10:56:50 +08:00
    现在已经恢复了,下面很多人说也可能是运营商劫持,但是如果运营商的话它自己的 dns 反而是正常的就很奇怪

    这个事情吊诡的是它劫持到了 abc.test.com 这明显是个测试域名,后续应该会劫持到正式域名的,我会持续关注这个事情
    51 条回复    2024-08-16 15:37:23 +08:00
    hefish
        1
    hefish  
       2024-06-03 08:23:53 +08:00
    应该指向哪儿啊?
    Shiroka
        2
    Shiroka  
       2024-06-03 08:25:29 +08:00 via iPhone
    虽然我也不喜欢 114dns ,但这个域名设置如此,换其他 dns 也是一样的解析结果

    https://dns.google/resolve?name=v2ex.test.com&type=A
    Jack927
        3
    Jack927  
       2024-06-03 08:44:13 +08:00
    nslookup abc.test.com 223.5.5.5
    服务器: public1.alidns.com
    Address: 223.5.5.5

    非权威应答:
    名称: abc.test.com
    Address: 69.167.164.199


    nslookup abc.test.com 8.8.8.8
    服务器: dns.google
    Address: 8.8.8.8

    非权威应答:
    名称: abc.test.com
    Address: 69.167.164.199


    nslookup abc.test.com 1.1.1.1
    服务器: one.one.one.one
    Address: 1.1.1.1

    非权威应答:
    名称: abc.test.com
    Address: 69.167.164.199

    有没有一种可能就是这个结果。
    hadami
        4
    hadami  
    OP
       2024-06-03 08:45:12 +08:00
    @Shiroka 我说的是其他域名,跟普通的 dns 污染不一样
    hefish
        5
    hefish  
       2024-06-03 08:48:13 +08:00   ❤️ 3
    我高考语文没及格。。。硬伤啊。
    hadami
        6
    hadami  
    OP
       2024-06-03 08:48:50 +08:00
    @Jack927 clm37.click 你试试这个域名 114dns 会解析到 abc.test.com ,其他 dns 解析都正常,abc.test.com 应该就是在测试劫持的目的域名
    cleanery
        7
    cleanery  
       2024-06-03 08:52:20 +08:00
    114 由于是 udp 加上知名度高 所以经常被运营商劫持
    hadami
        8
    hadami  
    OP
       2024-06-03 08:55:27 +08:00
    @cleanery 不太像运营商劫持,运营商劫持都是跳转到反诈页面,这个跳转到了 abc.test.comabc.test.com 后面应该会更换成 114 他们自定义的页面
    a33291
        9
    a33291  
       2024-06-03 08:56:13 +08:00
    之前遇到过访问某 fq 官网被劫持,换到 1111 才正常
    cyaki
        10
    cyaki  
       2024-06-03 08:58:35 +08:00
    如果被劫持到反诈骗页面, 有何办法呀
    hadami
        11
    hadami  
    OP
       2024-06-03 09:00:43 +08:00   ❤️ 1
    @cyaki 换阿里 dns ,暂时还没发现有劫持
    Goooooos
        12
    Goooooos  
       2024-06-03 09:05:00 +08:00
    @hadami

    没有吧?

    > clm37.click
    Server: public1.114dns.com
    Address: 114.114.114.114

    DNS request timed out.
    timeout was 2 seconds.
    DNS request timed out.
    timeout was 2 seconds.
    Non-authoritative answer:
    Name: ns-mainweb.5338.org
    Address: 62.204.54.79
    Aliases: clm37.click
    ns-mainweb2.5338.org
    yuzo555
        13
    yuzo555  
       2024-06-03 09:11:59 +08:00
    测了下你这个域名 clm37.click
    联通移动没有这个现象,电信使用运营商 DNS 也正常,电信使用 114 DNS 全国大部分地区都 CNAME 到 abc.test.com

    结合这个域名是 5.31 新注册的,我感觉某种缓存的可能性比较大
    wcnmm
        14
    wcnmm  
       2024-06-03 09:15:09 +08:00
    114 以前就有配合运营商劫持的黑历史吧 https://www.landiannews.com/archives/18431.html
    hadami
        15
    hadami  
    OP
       2024-06-03 09:18:05 +08:00
    @yuzo555 缓存不太可能会 解析到 abc.test.com ,缓存一般都是空解析
    hadami
        16
    hadami  
    OP
       2024-06-03 09:19:24 +08:00
    @Goooooos 我测了一下,主要是电信下面使用 114 会劫持到 abc.test.com ,应该还是 114 自己在测试它的劫持系统
    Goooooos
        17
    Goooooos  
       2024-06-03 09:22:54 +08:00
    我没电信网络,不太清楚
    Huelse
        18
    Huelse  
       2024-06-03 09:26:00 +08:00
    你这纯个人环境得出的结论完全不靠谱,楼上提到其背景和历史来证明现在的结论更是诡辩
    hadami
        19
    hadami  
    OP
       2024-06-03 09:34:38 +08:00
    @Huelse
    ![QQ 截图 20240603093140.png]( https://krseoul.imgtbl.com/i/2024/06/03/665d1d6fcad18.png)
    ![QQ 截图 20240603093208.png]( https://krseoul.imgtbl.com/i/2024/06/03/665d1d6fc8efb.png)

    itgou 可以指定 dns 测解析,显然不是个人环境得出的结论
    Aicnal
        20
    Aicnal  
       2024-06-03 09:50:06 +08:00 via iPhone
    我从来不用 114 (狗头 我自建了一个 dns 缓存服务器 用来缓存 8.8.8.8 和 1.1.1.1 的解析结果,效果还可以
    Huelse
        21
    Huelse  
       2024-06-03 09:54:56 +08:00
    hadami
        22
    hadami  
    OP
       2024-06-03 10:08:10 +08:00
    @Huelse 使用连续 ping ,多看几个节点
    somebody1
        23
    somebody1  
       2024-06-03 10:18:31 +08:00
    @hadami #16

    你这个 16 楼市怎么得出结论的,电信会劫持,不应该是电信的问题吗,怎么就 114 的问题了。
    hadami
        24
    hadami  
    OP
       2024-06-03 10:22:39 +08:00
    @somebody1 电信只是使用 114dns 会劫持,其他所有 dns 都不会劫持难道还能说是电信劫持嘛,而且电信要劫持这个域名,自己运营商的 dns 反而是正常的也不合理啊
    somebody1
        25
    somebody1  
       2024-06-03 10:26:53 +08:00   ❤️ 8
    我是业内人员,先说结论
    114 会劫持 dns ,114 会劫持 dns ,114 会劫持 dns

    首先,不止 114 ,大的自建 dns 都必须有这个功能,有人会跟你对接的,你咬死不搞第二年还能不能开着这个 dns 都不好说了。
    出发点是反诈,目前的整体使用场景也是反诈,越线的事情都是防火墙在搞,民间 dns 搞越线很容易泄露。
    楼主的所有证据都证明不了啥,不论是不同的运营商,还是不同的地点,说明不了是 114 劫持的。运营商也一样能劫持,效果和 114 劫持一摸一样,现有的证据排除不了运营商。
    somebody1
        26
    somebody1  
       2024-06-03 10:32:16 +08:00
    @hadami #24
    如果是 114 劫持,跟运营商无关,所有的网络环境返回的是一样的结果,楼上有其他运营商测试的结果,是正常的。
    huangzhiyia
        27
    huangzhiyia  
       2024-06-03 10:47:19 +08:00
    udp 包,在网络链路任何一个节点都能修改,之前也自建过 DNS 一天查询量 8 千万,总有用户投诉我们劫持 dns 插入广告,真的无语了。大部分就是三种:

    第一:DNS 服务器递到上游 DNS 服务器链路途中被篡改
    第二:DNS 到用户之间的链路途中被篡改
    第三:DNS 服务器本身劫持

    具体是不是 114 的锅还是不要张口就来。

    --------------------------------------------------------
    nslookup clm37.click 114.114.114.114
    服务器: public1.114dns.com
    Address: 114.114.114.114

    非权威应答:
    名称: ns-mainweb.5338.org
    Address: 172.247.129.109
    Aliases: clm37.click
    ns-mainweb2.5338.org
    hadami
        28
    hadami  
    OP
       2024-06-03 10:50:56 +08:00
    @zmaplex 现在已经好了,不知道是不是 114 官方人员看到了,没有劫持到 abc.test.com 的现象了
    itakeman
        29
    itakeman  
       2024-06-03 11:00:04 +08:00 via Android
    18 楼简直贻笑大方,劫持都是随机劫持。经典那句:别人有就是不代表就有,别人拿证据他装看不到:“我看不到,看不到,看不到”,他没有就是没有。

    那么容易给你抓马脚,为什么有些 dns 半夜或者随机某地劫持呢?

    这时候经典的来了:我怎么就没遇到呢?哦,你的问题
    huangzhiyia
        30
    huangzhiyia  
       2024-06-03 11:05:03 +08:00
    @hadami 下次记得附带 traceroute 114.114.114.114 记录,一次篡改的时候,一次正常的时候。
    david98
        31
    david98  
       2024-06-03 12:17:37 +08:00
    1. 114 会帮运营商搭建和维护 dns 集群和高仿集群的
    2. 运营商会搞这玩意 我碰见过 打电话投诉网络有问题 回复是正在测试设备中 弄错了
    mohumohu
        32
    mohumohu  
       2024-06-03 12:45:31 +08:00
    看这么多楼下来居然没人提到用 nslookup whether.114dns.com 114.114.114.114 域名就可以测试 114 是否被运营商劫持(被劫持返回结果是 127.0.0.1)。
    Malenia
        33
    Malenia  
       2024-06-03 13:08:57 +08:00
    前几周我就想发帖讨论阿里的 doh 都被污染这事了
    我这 tcp/udp 的 dns 填任何国内外的都被劫持成本地 dns ,
    连 doh 的阿里 dns 都污染到反诈 ip ,无论 adguard 日志还是用 q 都能复现,
    我现在已经删掉所有阿里相关的 dns 了
    K8dcnPEZ6V8b8Z6
        34
    K8dcnPEZ6V8b8Z6  
       2024-06-03 14:24:28 +08:00
    @Aicnal 国内带 cdn 的网站不会被绕路吗
    iSecret
        35
    iSecret  
       2024-06-03 15:24:07 +08:00
    刚好看到这个帖子提到 53 端口开放校验 /t/1046376
    Aicnal
        36
    Aicnal  
       2024-06-03 17:10:55 +08:00
    @K8dcnPEZ6V8b8Z6 这个我倒没注意 不过解析缓存足够了其实速度还是可以的 至少是无感知了
    mingtdlb
        37
    mingtdlb  
       2024-06-03 17:25:27 +08:00
    v2 上有个帖子 https://www.v2ex.com/t/482394 ,走 53 端口解析的 dns 都说会被运营商劫持
    v2tudnew
        38
    v2tudnew  
       2024-06-03 17:35:14 +08:00
    @mohumohu 可能、大概谷歌也劫持了?🤣 https://dns.google/query?name=whether.114dns.com
    mohumohu
        39
    mohumohu  
       2024-06-03 17:43:16 +08:00
    @v2tudnew 不是这么用的,只有用 114dns 才不会解析出 127.0.0.1
    Huelse
        40
    Huelse  
       2024-06-03 17:56:37 +08:00
    @itakeman 你也是蛮搞笑的,我就说明楼主提供的证明并不能证明是 114 自己劫持了,并且用 OP 提供的网站实测了一次说明具有随机性,25 楼和 27 楼也举证说明了,我也没否认劫持的事实,结果就在这没具体讨论分析,在嘲讽、阴阳怪气是谁呢?
    v2tudnew
        41
    v2tudnew  
       2024-06-03 18:06:09 +08:00
    @mohumohu
    明白你的意思了,114 在自己 DNS 服务器里面修改解析用于验证。
    但问题是 114 不是加密 DNS ,在这种情况下运营商只要过滤这个域名就可以伪装了。

    我之前也搞了这种验证自建加密 DNS 是否有效。🤣
    OBNtHBZY3N3lxGVT
        42
    OBNtHBZY3N3lxGVT  
       2024-06-03 18:20:07 +08:00
    114DNS 会劫持修改用户数据应该是有的吧,我记得好多年前,乌云还在的时候,还暴露过 114DNS 的广告运营后台弱密码的问题呢,在后台可以针对性广告投放之类的
    guo4224
        43
    guo4224  
       2024-06-03 18:44:59 +08:00
    愣是没看懂你在表达啥
    aladd
        44
    aladd  
       2024-06-03 18:55:21 +08:00
    我默认联通 DNS abc.test.com 也是 69
    mohumohu
        45
    mohumohu  
       2024-06-03 19:14:16 +08:00
    @v2tudnew 运营商劫持才不会花这种功夫,光明正大劫持。
    miaomiao888
        46
    miaomiao888  
       2024-06-03 21:12:24 +08:00
    114 自身是不会劫持的,但可能被运营商劫持,一直传闻 114 所属信风公司的劫持业务应该只是面向他们的运营商级客户,而不是用在 114DNS 上。
    miaomiao888
        47
    miaomiao888  
       2024-06-03 21:13:43 +08:00
    不过 114 的出口少,又不支持 DOH 等加密 DNS ,可做备用,主用就没必要了。
    itakeman
        48
    itakeman  
       2024-06-03 21:14:54 +08:00 via Android
    @Huelse 不靠谱,诡辩=没否认。全程没否认哟,自己形容的真贴切哟。什么叫嘲讽,阴阳怪气请定义?你也配,直接 block 你
    Huelse
        49
    Huelse  
       2024-06-04 09:11:49 +08:00
    @itakeman #48 哈哈哈,讲不出道理就开始抠字眼,还 block ,笑死
    Huelse
        50
    Huelse  
       2024-06-04 09:15:10 +08:00
    @itakeman #48 你这种人跟微博、小红书上的女拳、键盘侠一样,全程不讲主题,主打一个针对别人的话钻漏洞,地鼠行为
    txydhr
        51
    txydhr  
       2024-08-16 15:37:23 +08:00 via iPhone
    @v2tudnew 对啊,如果给这个结果,就证明没有使用 114
    关于   ·   帮助文档   ·   自助推广系统   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4653 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 09:56 · PVG 17:56 · LAX 02:56 · JFK 05:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.