V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Zeaxion
V2EX  ›  宽带症候群

针对宽带运营商扫动态域名绑 IP 导致封宽的可行性解决办法

  •  
  •   Zeaxion · 244 天前 · 2166 次点击
    这是一个创建于 244 天前的主题,其中的信息可能已经有所发展或是发生改变。
    准备工作:
    1 、一台 vps ,最好是香港轻量(例如 IP:123.213.132.231)
    2 、两个主域名 aaa.com bbb.com ,注意不能是主域名下的子域名
    bbb.com 甚至可以随便乱用且不用购买,aaa.com 必须自购
    3 、自建 dns 解析,可用 adg 实现

    执行步骤:
    1 、路由动态更新所需 IP 至 aaa.com
    2 、防火设置仅允许 香港轻量 IP 访问自建 dns 解析 adg 开放的端口
    比如,设置端口转发 5053 tcp/udp -〉内网 adg 的 IP+设定的 adg 端口,允许 ip 填香港轻量 IP
    开启 adg https 服务、tls 服务、quic 服务,并添加端口转发
    3 、通过非香港轻量 IP 测试 aaa.com+adg 转发端口是否可用(可用为异常,不可用为正常),
    通过香港轻量 IP 再测一次,可用为正常
    4 、adg 服务内 过滤器-dns 重写 添加 bbb.com cname 到 aaa.com 或子域名
    例如,自动态解析更新给 ab123.com ,adg 内 dns 重写 baidu.com cname-〉 ab123.com
    5 、香港轻量搭建 nginx
    第一种,随便跑个页面,conf 文件里面设定 location /dns-query 转发给 https://aaa.com+adg 的 https 转发端口/dns-query
    第二种,nginx 开启 stream tcp/udp 转发,设定比如 dns.aaa.com 转发给 aaa.com+adg 的 tls 、tcp/udp 转发端口,stream 一次只能转一个,tls 、tcp/udp 、quic 都转需要多个子域名,自行摸索配置
    6 、设定手机或其他客户端设备的 dns 为香港轻量,可用有 dns-over-https 、tcp/udp 、quic 、tls

    自此,流程闭环

    首先,对外只有香港轻量一个连回时具有 domain ,但是其他服务页面均关闭,外部探针也仅只知道一个域名绑定了 ip ,探测无任何可用内容(前期设置的仅香港轻量可入)
    由于你客户端设备通过香港轻量做 dns 转发,实际上用的是 adg 提供的 dns 服务
    就会造成,比如 你家 ip 是 114.114.114.114 ,但是你访问回去带的 host 居然是 baidu.com
    然后运营商对这个 baidu.com 进行所有解析爆破,找出来的内容都跟你实际 IP 毫无关联

    因此现在唯一剩下的,就是主域名 aaa.com 了,其实还是有办法通过其他办法连主 aaa.com 这个动态解析也去掉,你可以想想如何通过家里的设备,推送 ip 到香港轻量,然后香港轻量再根据推送 ip 连回去 adg 服务
    14 条回复    2024-03-11 17:23:54 +08:00
    fuzzsh
        1
    fuzzsh  
       244 天前 via Android


    都有 vps 打洞穿透跳板什么不能干,路子很阔,被你这走窄了

    没 vps 才搞 ddns
    Zeaxion
        2
    Zeaxion  
    OP
       244 天前 via iPhone
    @fuzzsh 直连速度快哦,尤其是全代自动分流去广告,啥啥都好使哦
    fuzzsh
        3
    fuzzsh  
       244 天前 via Android
    @Zeaxion vps 能当服务器,打洞不能 p2p ?
    LnTrx
        4
    LnTrx  
       244 天前
    没看懂宽带运营商为啥要扫动态域名绑 IP 。有入站 Host 或者 SNI 不就能判定了,验证 DNS 关系不是必要步骤。
    totoro625
        5
    totoro625  
       244 天前 via iPhone
    @LnTrx #4 同意这个观点
    如果仅是扫描 DNS ,直接弄个泛解析,让他扫描去
    甚至可以绑定若干个别人的 IP

    baidu.com 回家无非是修改了自己的 host ,这种容易被识别为 pcdn 或免流
    我宁愿相信用自己的备案域名这个玄学
    rulagiti
        6
    rulagiti  
       244 天前
    没看懂说的啥,所谓的域名指向家宽不就是你通过运营商 dns 解析到的 ip 发现是他们的家宽 ip ?再说这个也证明不了啥,域名指向 ip 可随意啊,运营商顶多扫下端口看是否开 web 服务?
    YGBlvcAK
        7
    YGBlvcAK  
       243 天前 via Android
    说实话,不如 VPN 直接到家
    ac169
        8
    ac169  
       243 天前
    封宽带: 本质是 IP 开启或响应了不符合规定的服务, 而不是(或不仅仅是)IP 绑定了 DDNS! 像 5#说的那样如果有人恶意解析那不是所有人都要被封? 目前个人觉得最好的方式是 外面套一层隧道或是限定访问区域 (这个方式都不是很保险)
    amyw495062
        9
    amyw495062  
       243 天前
    @ac169

    https://cn.v2ex.com/t/972540
    这个帖子有一段
    “证据:我自用的 DDNS 域名指向了家宽的 IP ,但此家宽 IP 除了 SSH 外没开放任何端口,更没有任何 web 服务。此外,当时联通的工作人员上门时给我看了一个名单,上面有每个家宽账号对应的域名、解析次数、装机地址、处置建议(一般写的是“拆机”或者“整改”,本人的写的是“拆机”)。”
    wanwaneryide
        10
    wanwaneryide  
       243 天前
    我电信的家宽绑定域名都好几年了,啥事都没得
    deplives
        11
    deplives  
       243 天前
    你的思路错了,ddns 并不会导致家宽被封,封的都是因为 ddns 顺便开了什么 web (包括路由器管理页面)啥的违规的行为,本身 ddns 不会导致封宽带的。
    不然 ddns 就能封宽带,你信不信我搞个泛解析,能直接让他封掉一整个网段。
    uniqueman
        12
    uniqueman  
       243 天前
    封宽带是直接把宽带停服吗?
    ac169
        13
    ac169  
       243 天前
    @amyw495062

    举例这帖说明不了任何问题.

    1. "... 不符合规定的服务... " 并不是说只有 web 服务才是, 这里面包含很多服务, 比如: 邮件, 共享, 文件等都是早要求要封的 只是说 WEB 服务管理最严格必须封, 像 SSH 这些关注度不高的是由运营商自己把握的, 并不是说他一定不在被封禁的行列, 另外就单 web 服务来说 其实是包含两层: 一 80 443 8080 端口, 二 http 协议.

    2. 运营商广猫, 大小厂路由器, NAS 等很多东西本身就带 DDNS 这个功能,有的甚至是默认开启了, 如果这个功能有问题他们能拿到合格证吗?

    3. 就拿举例贴中 5# 说法完全可以将联通公网用户全部弄来拆机.

    4. 就算你不开 ddns 运营商同样会扫描, 扫描到同样封.

    5. 现实中鲁村电联用户 多条 多年都 开启 ddns 的宽带一直都没有任何人过问过.

    还是之前说的, 宽带被封核心是你开启了不符合规定的服务(主动的 被动的 有意的 无意的都算), 当然也不排除用户损害了运营商的利益,运营商借题发挥. 其实 ddns + http pcdn 基本都满足
    yulgang
        14
    yulgang  
       243 天前
    一直 openvpn ddns 到家,好几年了,很稳定。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1142 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 23:37 · PVG 07:37 · LAX 15:37 · JFK 18:37
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.