最近 dns 总是被劫持，有什么方法可以一劳永逸的避免？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 1701 天前的主题，其中的信息可能已经有所发展或是发生改变。

前些时候打开一个网站总会跳到另一个网站那，联系运营商后解决。结果今天发现又成这样了，我很奇怪到底是怎么搞的。所以我就想问问，有什么办法可以不被劫持吗？三天两头联系运营商实在是麻烦。

劫持

DNS

运营商

一劳永逸

24 条回复 • 2020-03-28 19:15:01 +08:00

bclerdx

2020-03-23 16:11:57 +08:00

先排查源头在说吧。

wusatosi

2020-03-23 16:14:50 +08:00 via Android

doh

fancy111

2020-03-23 16:15:51 +08:00

你是不是想问怎么劫持 dns ？

bgwzh

2020-03-23 16:24:36 +08:00

@bclerdx 怎么排查？

cev2

2020-03-23 16:25:18 +08:00

https+DoH/DoT 可解，未必都是运营商的锅，某路由器也会自插劫持广告。

bgwzh

2020-03-23 16:25:42 +08:00

@fancy111 我是想问我这个情况 dns 是怎么被劫持的

bgwzh

2020-03-23 16:29:23 +08:00

@cev2 有的网站不支持 https，没法用。我知道不是运营商的问题，不过路由器用了好几年了没道理现在才出问题，又没升级什么的。

fancy111

2020-03-23 16:32:31 +08:00

@bgwzh 就是运营商劫持的啊，具体是他们自己人搞的还是别人，谁知道呢
没办法避免，你用的是他的线路

cev2

2020-03-23 16:45:35 +08:00

@bgwzh
1，如果确实是 DNS 导致的，PC 端 360 极速可开启 DoH，可进行排除；
2，如果手机端访问网站会自动跳转到淘宝、支付宝且剪贴板带有推广口令，但 4G 下没有，DNS 、js 脚本都有可能，反正某跑路路由器会这样劫持，这种情况还是直接通过浏览器安装 ABP 之类的扩展屏蔽吧。

imn1

2020-03-23 16:48:24 +08:00

劫持常见两种：dns/http
dns 一般用 tcp 可以解决（解决污染是另一个话题），借助工具
http 的话两种方法
1.经过一个可控 proxy，在 proxy 内过滤解决
2.禁止跳转，或者白名单，这种会出现刷新才能访问的情况，但频率很低

简单且一劳永逸当然是借助傻瓜式工具……缺点是对这个工具会产生依赖性

OllyDebug

2020-03-23 19:30:40 +08:00 via iPhone

dns over https

bgwzh

2020-03-23 19:41:28 +08:00 via Android

@imn1 什么工具？

imn1

2020-03-23 20:16:00 +08:00

@bgwzh #12
我比较少直接用一个工具，可能爱折腾吧
dns 我用 stubby+unbound，前者做 DoT，后者做 cache/filter/分流
proxy 就长年用 privoxy，filter/分流 /自我劫持

一体化工具本站提的最多的就是 adguard 吧，但我没用过

06_taro

2020-03-24 00:32:20 +08:00 via Android

@imn1 你这用法一个 unbound 就够了不用 stubby 啊

imn1

2020-03-24 01:45:31 +08:00

@06_taro #14
是的
一言难尽，当时半夜三点装的，装了几个都没搞懂配置，没打通，就这两货开箱即用，就改了一个 ip 和一个端口，就直接通 DoT 了，睡觉……
unbound 的配置记得是一周后才开始慢慢优化配置的

XMD

2020-03-24 13:12:57 +08:00

移动的话非商业就忍一忍实在忍不了换 dns 或把 dns 换成路由管理页面 ip

cev2

2020-03-24 14:09:14 +08:00

@XMD 真 DNS 劫持这样换是没用的，终端换成路由网关的 IP 和系统默认自动获取 DNS 没有任何区别，因为原理上网关会原样转发 53 端口请求不作任何修改。
终端换 DNS 只对运营商不劫持 DNS 时有效，只能上 DoH/DoT 解决，但凡有其它方法，也不可能逼得发明出 DoH/DoT 来。

darknoll

2020-03-24 16:17:12 +08:00

https 劫持的时候，浏览器不是会有警告吗

wwbfred

2020-03-24 17:13:47 +08:00

你先确定这个现象是 dns 劫持导致的.
"打开一个网站总会跳到另一个网站",这不表明一定是 dns 劫持.

850521109

2020-03-27 16:24:55 +08:00

@cev2 用其他端口的 dns 呢 opendns 的 5353 端口

Wondertainment

2020-03-27 16:55:09 +08:00

我是用 Clash 的 fake-ip 。

missdeer

2020-03-27 17:43:04 +08:00

如果想解决 DNS 污染的问题，试试 https://github.com/missdeer/coredns_custom_build

cev2

2020-03-28 16:52:59 +08:00

@850521109 #20 用非标准端口可以解决一时，一旦成规模后某端口的下场只会成为第二个 53，根本原因还是 DNS 请求未加密，而且客户端改 DNS 端口的活也不漂亮。
加密 DNS 在 DoT/DoH 之前就有了，所以缺的不是方法而是规范。DoT 的活干得比较彻底，目标是朝着替代系统旧 DNS 来的，道阻且艰，一步步来吧。DoH 活干的就比较偷巧，依附于普遍的 Https 协议，需要搭配旧 DNS/DoT 等使用，算是在 DoT 普及前的缓冲吧，内置于应用中无痛支持挺好的，目前像 Chrome/Edge/360 极速等浏览器都内置了，一键开启无痛切换 DoH 。

ericbize

2020-03-28 19:15:01 +08:00

dns over vpn