V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
zungmou
V2EX  ›  问与答

DNS 查询协议被严重劫持

  •  
  •   zungmou · 2015-10-19 13:48:12 +08:00 · 3671 次点击
    这是一个创建于 3321 天前的主题,其中的信息可能已经有所发展或是发生改变。
    宽带:浙江电信

    nslookup twitter.com
    服务器: vrouter
    Address: 192.168.88.1

    非权威应答:
    名称: twitter.com
    Address: 159.106.121.75
    --------------------------
    nslookup twitter.com 8.8.4.4
    服务器: google-public-dns-b.google.com
    Address: 8.8.4.4

    非权威应答:
    名称: twitter.com
    Address: 159.106.121.75
    --------------------------
    nslookup twitter.com 208.67.222.222
    DNS request timed out.
    timeout was 2 seconds.
    服务器: UnKnown
    Address: 208.67.222.222

    非权威应答:
    名称: twitter.com
    Address: 159.106.121.75

    从各个 DNS 服务器返回的地址不约而同指向 159.106.121.75 这个 IP 地址,当然这个并不是 twitter 的 IP 地址,现只能通过修改本地 HOST 来解决这个问题(用 Google 和 OpenDNS 均已被劫持),但是大量的域名被劫持后修改起来很麻烦,请问大家有什么破解之道?
    13 条回复    2015-10-19 18:46:29 +08:00
    yexm0
        1
    yexm0  
       2015-10-19 13:51:46 +08:00 via Android
    我直接上中科大的 dns ,简单方便。
    hgc81538
        2
    hgc81538  
       2015-10-19 13:53:54 +08:00 via iPhone   ❤️ 1
    用 opendns 的 dnscrypt
    kttde
        3
    kttde  
       2015-10-19 14:05:15 +08:00
    nslookup -vc twitter.com 8.8.4.4
    这样就不会劫持了
    feibaoxiu
        4
    feibaoxiu  
       2015-10-19 14:10:49 +08:00
    -vc

    Always use a virtual circuit when sending requests to the server

    什么是虚电路?
    zungmou
        5
    zungmou  
    OP
       2015-10-19 14:11:51 +08:00
    @kttde 这个参数是什么意思?另外即便这样劫持不了,系统调用的时候还是被劫持呀。
    feibaoxiu
        6
    feibaoxiu  
       2015-10-19 14:12:48 +08:00
    知道了, 就是用 tcp 协议直连 8.8.4.4
    feibaoxiu
        7
    feibaoxiu  
       2015-10-19 14:16:03 +08:00
    类似于
    dig +tcp twitter.com @8.8.4.4
    Smirnoff
        8
    Smirnoff  
       2015-10-19 14:16:28 +08:00
    @kttde +1
    Smirnoff
        9
    Smirnoff  
       2015-10-19 14:16:45 +08:00
    @kttde 头像 -1
    zungmou
        10
    zungmou  
    OP
       2015-10-19 14:23:37 +08:00
    @feibaoxiu 可是用 TCP 只能通过 nslookup 命令,系统又不支持。
    ScotGu
        11
    ScotGu  
       2015-10-19 14:24:34 +08:00
    估计 LZ 的运营商劫持了 UDP 53 端口吧。
    那样的话,还是建议自建 DNS , 使用 TCP 协议获取 DNS 解析结果。
    gamexg
        12
    gamexg  
       2015-10-19 15:26:46 +08:00
    twitter.com 很早就被劫持了啊,统计 GWF 错误 ip 时就使用这个域名做测试。
    yingluck
        13
    yingluck  
       2015-10-19 18:46:29 +08:00
    sudo iptables -A INPUT -s 8.8.8.8 -p udp -sport 53 -m tos --tos 0x0 -j DROP
    sudo iptables -A INPUT -s 8.8.8.8 -p udp -sport 53 -m tos --tos 0x10 -j DROP
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4394 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 04:05 · PVG 12:05 · LAX 20:05 · JFK 23:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.