cmhk 使用了几个月发现有些省 dns 解析 google 会被污染,只有谷歌,fb、tw 都没有发现污染,多次查询发现还是能收到正确的解析,相同情况也被用 cuniqhk 的网友发现,感觉这些省在靠近终端附近部署了 dns 抢答设备,或者还有其他原因?我的 google fi 没来得及测试就被我取消服务了,但是估计和香港卡一样。
1
trepwq OP 既然 dns 能被抢答,那其他流量是不是也能被审查
|
2
youngzy 2019-03-08 20:22:21 +08:00 via Android
dns 能够被抢答是因为普通的 dns 没有校验,其他流量只要是明文的当然也能被审查。
|
3
tetora 2019-03-08 20:34:43 +08:00 via Android
下一次扎克伯格来要改 hosts 了?
|
4
hlz0812 2019-03-08 20:41:51 +08:00 via iPhone
ios 的话可以用 surge 看响应 dns 的 ip 是不是香港的,理论上是隧道回源的,大陆任何设备无法干涉,因为正规的归属地接入方案拜访地只做数据转发,不对数据进行更改,也不会使用拜访地 dns
|
5
leedstyh 2019-03-08 21:01:32 +08:00 via Android
我用的 cuniq uk,网页什么的都能打开,但是打不开 google play,这是怎么回事呢
|
6
laidycy 2019-03-08 22:30:41 +08:00
fi 似乎没发现有 dns 抢答的情况
|
8
hlz0812 2019-03-08 23:15:34 +08:00 via iPhone
@bclerdx 网关都在香港,为什么要在大陆解析?除非动了手脚,网关在大陆,只是使用了香港 ip,国际专线出去,而且 cmhk 也不会傻到给漫游网关分配大陆 dns 吧?确实漫游用的网关和在本地的网关不是同一个,但是没理由使用大陆的网关
|
9
hlz0812 2019-03-08 23:21:11 +08:00 via iPhone
@bclerdx 不过香港分公司大陆这边肯定有权要求留后门的,目前出现这个问题的都是大陆运营商的海外分公司,海外本地的运营商的卡漫游过来从来没听说过这个问题,但个人还是倾向于自己设备问题,旁路监听核心网不容易啊,更别说对加密的数据更改了,又不是明文传输的,明文传输还可以模拟 dns 返回个假的解析( cmhk 和 3hk 反正都没听说过,这是第二次看到这个问题,我怀疑手机问题,反正苹果从来没有这种问题,安卓可能因为双卡导致一些缓存错误解析,具体也不清楚,我只能说苹果没遇到过)
|
10
ThirdFlame 2019-03-08 23:30:39 +08:00
正常情况下 境外运营商的流量 会通过大陆运营商的 vpn 隧道回到 境外的运营商处,再出去。 也就是 ip 地址显示为归属运营商。
所以外国友人来国内 才能无需任何设置的访问 fb 等网站。 理论上 和 业务结算上来说 不会使用本地的 dns。 |
11
Actrace 2019-03-08 23:52:45 +08:00
兄弟们想多了,不管是不是漫游,所有流量都要过墙的,只是墙要不要作出处置而已。
|
12
hlz0812 2019-03-09 00:00:42 +08:00 via iPhone
@Actrace 数据在核心网传输到出口前的协议根本不是公网的协议好不?墙怎么监听?除非墙针对任何通信协议都开发一套策略,那这墙厉害了,连核心网都能监听,那监听你的通话和短信也不是问题,甚至拦截一些境外黑名单电话和短信关键词过滤也轻而易举,目前没有相关证据表明墙可以监听识别非公网的加密信息,你说国际专线过墙我还信,毕竟上面跑的也是公网协议,但如果套一层 vpn 隧道即使是建立在公网上,墙也没本事单独把 dns 抽出来污染
|
14
LukeChien 2019-03-09 00:11:18 +08:00 via Android
配合 Android 9 的 DNS over TLS 就完美了,不知道国行的安卓系统会不会被阉割。
|
15
hlz0812 2019-03-09 00:12:28 +08:00 via iPhone
@dlsflh 去找一下关于 LTE 核心网结构的资料吧,到出口前结构和公网完全不同,也不是什么 vpn 隧道,就是专线承载,好像知乎上一个回答对于归属地接入和拜访地接入的核心网结构解释的很清楚了,进入 IP 网络之前完全与公网无关
|
17
Love4Taylor 2019-03-09 01:35:13 +08:00 via Android
@rsy 据说只是割掉了入口 没完全干掉?
|
18
shiji 2019-03-09 02:05:35 +08:00
有没有可能是你中间连了墙内的 WIFI,手机本地 DNS 有缓存?
|
19
titanium98118 2019-03-09 09:38:31 +08:00 via Android
我昨天用 google fi 试了一下,没有这个现像。
|
20
wdlth 2019-03-09 10:19:24 +08:00
没发现污染,用的是 CMHK 的 DNS。
|
21
datou424 2019-03-09 11:03:59 +08:00 via iPhone
cmhk 接个验证码后就没有信号了 一直无服务 大侠遇到过没有
|
24
julyclyde 2019-03-10 11:10:59 +08:00
我同事有 FI 和 CMHK,说在北京移动都有这种 DNS 抢答的情况;北京联通可以正常工作
但不明白为什么,按说应该隧道回归属运营商去的啊,这居然都能抢答? |
25
taobibi 2019-03-10 16:33:58 +08:00
我觉得有必要排查一下是不是手机或者浏览器的问题。比如手机是否 root 过?是否为国内手机,之前新闻有说过,国内手机把 GOOGLE 服务指向了错误的 dns,是手机层面的问题。还有一些浏览器会自带国内 DNS
|
26
hlz0812 2019-03-10 17:10:32 +08:00 via iPhone
@taobibi 华为 mate10 插香港卡打不开 google play,挂代理有的可以打开有的不行,小米部分机型系统限制代理软件不能正常工作,论系统苹果是最干净的
|
27
txydhr 2019-03-11 00:01:46 +08:00
你是不是用了什么软件导致用了国内的 dns ?从境外访问境内 dns 也是会被抢答的
|
28
henglinli 2019-03-12 13:11:36 +08:00 via iPhone
@hlz0812 我倒是相信军方或者 z_f 的技术领先民用技术数十年之久。我更相信我们的 z_f 会不遗余力地实现这个目标。tor 握手墙都能识别(我不能确定是 ip 黑名单,还是墙识别了 tls 后还能继续分辨 ntor ),我能 ping 通的 ipv4 网桥,一个也没有握手成功的,部分 ipv6 网桥也无法握手。基于以上情况我有理由相信 lz 反应的情况是事实或者即将成为事实。
另外,不是有报道说墙已经能识别 ss 了吗。我相信现在用 ss 的都不是裸连而是使用了混淆协议吧。 |
30
henglinli 2019-03-12 21:55:27 +08:00 via iPhone
@hlz0812 漫游得通过三大运营商吧。不知道漫游数据受不受中国法律约束?运营商怎么建设网络我不清楚,但是他们得遵守中国法律。如果漫游数据用的网络和公网是用的相同的技术栈,那么接入防火墙的可能性和价值应该更高才对。监控无处不在,防火墙阻断链接只是它的部分功能。
|
31
hlz0812 2019-03-12 22:21:41 +08:00 via iPhone
@henglinli 漫游的数据经过加密后在核心网中传输,由专线承载,不在公网上建立隧道,如果要监控必须设计与公网完全不同的审查系统,因为在核心网中根本不是 TCP 包 UDP 包这么传输,墙协议都看不懂怎么监控,而且核心网中还有语音、短信、不同地区数据同步的信息在传输,你的意思是不是得电话短信也给你监听?监听电话短信可比监控数据漫游简单的多,就是因为归属地不好监控流量,所以以前一直归属地接入,拜访地接入会加大审查的难度,5G 为了延迟低不得不改,如果核心网能被全国监控,为什么不直接拜访地接入?
|
33
txydhr 2019-03-15 09:52:20 +08:00
@henglinli 从法律上讲如果中国运营商或者墙修改了漫游到中国的通信,属于恶意篡改干扰别人运营商的通信,并且签了协议保障一定的速度和通信质量。从技术上说漫游相当于搭建了一条从你手上的漫游手机到母国运营商核心机房的私有 VPN,墙根本看不懂这流量里面是什么。
|
34
henglinli 2019-03-15 13:10:08 +08:00 via iPhone
@txydhr 漫游法律上不受所在地约束。我要强调的不是墙存在于“漫游”,而是监控存在于“漫游”,而监控的实现包括过滤、舆情控制等。如果漫游真如你说的只是 vpn 通道这样的技术,那么技术上讲墙可以作用于“漫游”,理论上讲任何公开的协议墙都有能力或者将有能力识别。还有这篇报道 https://www.solidot.org/story?sid=59743&threshold=0,译文中未提及“漫游”,如果“漫游”真的安全到无法被监控,那么这个记者应该会选择操作简单的“漫游”,不排除他认为他们业内默认“漫游”无需特意说明的情况。而他转而寻求应用层的安全,恰恰说明他不相信“漫游”安全。
关于法律,我主要指的是涉及到国家安全之类的。 当你不够资格跟他讲法律时,你还讲法律吗?当你够资格跟他讲法律时,他跟你讲国家安全。美国抵制恰恰是遵守中国法律的华为。 |
36
hlz0812 2019-03-15 13:44:20 +08:00 via iPhone
@henglinli 确实可以用 vpn 承载,而且公网上建立 vpn 也可以,但几乎没有哪个运营商会选公网承载的,基本都是专线承载或者专线接交换中心(和公网上的 IX 差不多,专门交换运营商核心网数据的地方),接交换中心是成本最低的,但延迟不是最低的,比如亚洲运营商都在东京 香港 新加坡接交换中心,就得绕路这些地区,而专线是直连,专线这玩意都不过墙,就算过墙也不是公网的协议
|
37
txydhr 2019-03-15 13:48:58 +08:00
@henglinli 我认为墙解不了现在任何主流的加密方式,因为技术根本上不可行,墙最多只能知道这条流量是翻墙流量,然后干扰或者阻断,内容根本不可能破解,vpn+网站本身,两层加密怎么解?
|
38
txydhr 2019-03-15 14:11:20 +08:00
@henglinli 1、漫游是一条"合法私有链路"; 2、"合法私有链路"内的流量墙不会干扰,不管里面内容是不是让墙讨厌。但使用这条链路不会被干扰不代表你做的事情就不违法啊,你用漫游这种方法在 twitter 上发奇怪的东西照样查水表啊。
就像很多国家会用“外交包裹”往自己国家驻中东国家使馆邮寄红酒啊猪肉啊之类的,沙特这些国家当然知道外交包裹里有违反沙特法律的东西,但是又有什么办法呢,使馆里面人自己吃喝你又管不着。但是你要是拿到使领馆外面公共场合吃喝就要引起外交纠纷了。 |
39
skylancer 2019-03-15 16:36:19 +08:00
|
40
hlz0812 2019-03-15 16:37:25 +08:00 via iPhone
@txydhr 你用漫游发东西怎么查?国外卡大部分没有实名,日志也在境外运营商那里。那按你那么说香港运营商还租用中国大陆境内,光缆中继 TPE (香港-上海-北美),去欧洲俄罗斯之类的陆缆也有租,大陆方面难道有权利审查他们的数据?你可以理解为外国运营商租用中国运营商的传输网和通道而已,骨干流量用的原运营商。有时候光缆故障什么的,境外运营商都可以借道中国,但不需要经过中国运营商的骨干网
|
41
hlz0812 2019-03-15 16:58:10 +08:00 via iPhone
@skylancer 我还有一个想法就是大陆的 dns 污染因为某种原因没控制好,扩散到香港了?导致香港 dns 间歇性抽风?不然技术上真的很难解释是如何做到把非公网的流量污染的,而且查看返回结果的 dns ip 是正常的香港 ip。还是说去 dns 的路由是单独走的其他线路?建议开热点测试到 dns ip 的路由看一下。说这个是因为我在用电信某加速器的时候,设置仅海外加速的情况下,连接香港 ip 很多不会走加速器的路由,得开全局才走,怀疑策略路由将 hk 的 ip 标记为内地了。而加速器走专线出国,如果不单独将 dns 库的 ip 走本地路由,用户就可以用加速器当梯
|
42
hlz0812 2019-03-15 17:01:56 +08:00 via iPhone
@skylancer 总的来说,我更倾向于这种情况是到 dns 的路由被单独抽出来走了本地的,并且可能是间歇性干扰,而不是整个漫游回源隧道接入墙了,肯定是有哪个点使用到了拜访地的资源导致的
|
43
hlz0812 2019-03-15 17:07:29 +08:00 via iPhone
@skylancer 你看一下有没有出现两个 APN,比如大陆的移动 cmnet 和 cmwap 两个可以同时在线,要是出现分配了多个 ip,策略路由的嫌疑就很大
|
45
skylancer 2019-03-15 18:53:00 +08:00
@julyclyde 我都笑了,自己香港论坛搜一搜都大把人在说 roaming 联通有问题,不知道是懒呢还是贱呢要人给证据不自己试一下只会当 keyboard man
|
46
skylancer 2019-03-15 18:55:53 +08:00
@hlz0812 没有,也不需要,我用的运营商 mms 和日常 cellular 是同一个 APN,需要公网 IP 要手动更换 apn,所以不存在多链路并存的问题
最无奈的是,运营商回复我有派人上大陆来测试没有发现问题 |
50
txydhr 2019-03-19 01:19:38 +08:00 via iPad
@hlz0812 不一定通过运营商查的,但是有些人在 youtube twitter 上发表言论时没注意保护隐私,比如注意定位,国内国外网站用的相同的 id,全局翻的时候同 ip 同时登陆了境内的微信等等。。。这些东西正常人都无所谓的,因为大多数人又不会干奇奇怪怪的事情。但是那些被查水表的人大多数都是这么被顺藤摸瓜的
|
51
txydhr 2019-03-19 01:26:48 +08:00 via iPad
@hlz0812 估计是联通没有按照标准来配置漫游? http://tools.cloudxns.net/Index/Diag 看看用的哪台 dns 服务器。。。话说没经过对方机房的流量,到时候别人运营商是不会承认的,计费结算时会出现争议的。。如果 dns 流量不经过母运营商,岂不是可以直接 vpn over dns 免费用流量?
|
53
wwbfred 2019-03-26 07:32:11 +08:00
我是用 cmhk 的卡,也发现了这种情况.除了 www.google.com,instagram 有时也会被污染.
但奇怪的是 google.com.hk 之类的子域名不会被污染,用它放 wifi 热点也不会被污染. 因为手机没越狱没法详细调试,不知是因为什么造成这种情况... |
54
wwbfred 2019-03-26 19:41:25 +08:00
下午又测试了下,在 pc 上也发现了 dns 污染的行为,观察到的现象如下.
1. 与普通的 dns 污染不同,请求境外 dns 服务器时不会返回真实 ip. 2. 被污染域名大部分都不会在 100%的时间内都被污染. 3. 还可以观察到,gstatic.com 有几率返回 203.208 的国内 google ip 段. 4. 对于不存在的 dns 地址,被污染域名同样会返回 ip 地址. 根据 1,4 可以考虑到,污染的方式是伪装成目标服务器,这与许多小运营商处理 dns 的方式相同.2 说明,抢答是概率型的.根据 3 可以考虑到,漫游墙的抢答黑名单与我们的可能不同. 换句话说,相对于小型运营商的完全伪装,漫游墙的伪装是概率型的,域名也并非所有域名.这种操作更有隐蔽性,让人觉得是服务器故障或者网络环境不佳而非人为干扰. |