关于 DNS 劫持问题你们是怎么解决的？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

V2EX 提问指南

这是一个创建于 3402 天前的主题，其中的信息可能已经有所发展或是发生改变。

我计划树莓派2 + 各种DNS反劫持软件打包做成一个反DNS劫持系统吧树莓派用起来

目前想法如下：

整合这些软件：DNSCrypt、Pcap_DNSProxy、ChinaDNS、DNSPing

解析：公共DNS、多个反污染DNS解析、各ISP DNS解析

策略：常规结果黑名单、基于延时排除不可达结果

管理：自己写个控制台来管理

你们觉得这计划可行性如何？

树莓派

DNS

劫持

21 条回复 • 2015-07-25 13:33:56 +08:00

2015-07-24 19:23:32 +08:00 via Android

阿里云自建DNS，无污染，顺便翻墙。萌萌的感觉比shadowsocks翻墙略快。
@showfom 兽兽宝宝也是这么干的。
隔几天弄一下iptables

2015-07-24 19:27:05 +08:00 via Android

@49 关于楼主的想法，我觉得DNScrypt没必要，opendns5353就行了。
网上有个大约有七千个中国网站列表，走114的DNS，gfwlist的走我的sniproxy，其余的走opendns

Septembers

2015-07-24 19:28:01 +08:00

@49 公共DNS的话带上edns信息也许会更好

KCheshireCat

2015-07-24 19:33:03 +08:00

dnsmasq + dnsmasq-china-list 项目 + 非标端口国外DNS + 同ISP邻省的最佳DNS

有VPS的话，走VPN查询国外IP也是可以的

linhua

2015-07-24 19:33:11 +08:00

@49
你的sniproxy有密码保护吗？被别人扫到怎么办？

imn1

2015-07-24 19:35:33 +08:00

我没那么复杂，就 privoxy+dnsforwarder，firefox开remote dns，就基本解决了
走了privoxy就基本见不到 ISP 广告了，如果有广告（3年来至今只见过两次），基本上是 js 的，可查
dnsforwarder并发向多个dns查询，偶见114拦截了一些域名，不过刷新一下（等其他dns的返回结果）就行了，重要的例如 xmarks 走tcp，虽然较慢，但改了TTL后缓存，基本当天不需要再次查询

目前遇到最奇特就是 linux/firefox 死活不能解析 translate.google.cn，非要手动 nslookup 一次才行
但 windows 却毫无问题，万思不得其解～

2015-07-24 19:37:09 +08:00 via Android

@linhua 没有密码保护，用iptables设置白名单，用Python操作iptables来动态增加

2015-07-24 19:39:36 +08:00 via Android

@KCheshireCat 请问“同ISP邻省的最佳DNS ”这个如何获得呢？重庆电信默认的DNS禁止了外省查询，然而我的阿里云在北京。。
无奈只能114了，Apple CDN也是手动设置的

KCheshireCat

2015-07-24 19:59:06 +08:00

@49

我是在网上搜集了一些不是本省但是同ISP的DNS，然后通过DNSBench这个软件检测

确实有很多DNS都禁止外省查询，但是还是能发现几个DNS可用

datocp

2015-07-24 21:08:01 +08:00 via Android

这个话题，难道无污染dns解析出ip就能连上被封网站吗。
既然要挂代理，socks4a+版本就支持dns远程解析，又何必需要dns。

还是觉得privoxy+stunnel是最简单的解决方法。
一个支持黑白域名选择性挂代理，
另外一个支持把tcp用证书方式加密到本地访问。

想用代理就挂上去。没什么cdn之类的问题。

xbb7766

2015-07-24 21:32:47 +08:00

ipv6的dns，或者opendns用443或5353口. dnscrypt感觉查询慢。

wy315700

2015-07-24 21:33:44 +08:00

ss-tunnel

datocp

2015-07-24 21:41:32 +08:00 via Android

这几天刚在电信线路用上6to4 ，本来还一阵兴奋google搜索连带敏感关键词都不存在。。。
但是今天又注意到facebook后来用google的dns能访问首页了。但是twitter google学术之类的依然没任何办法。包括很多tb tunnel，不知道6to4跟原生ipv6差距大不，原来限制依然存在。。。

XiaoxiaoPu

2015-07-24 21:55:25 +08:00

@datocp twitter.com scholar.google.com 没有 AAAA 记录，IPv6 当然访问不了

simodorg

2015-07-24 22:01:43 +08:00 via iPhone

@49 我突然发现你是不是那个郑杰？...

lilydjwg

2015-07-24 22:35:20 +08:00

iptables + beautifuldnsd + geoip + tcpdnsproxy + shadowsocks + dnsmasq

lilydjwg

2015-07-24 22:38:08 +08:00

DNS 反劫持是 beautifuldnsd 的功能（当然也可以用 dnsmasq 的 bogus-nxdomain 来处理，如果预先知道劫持目的 IP 的话）。DNS 反污染 beautifuldnsd 的效果不好，加上 iptables 规则会好一些。

2015-07-24 23:07:17 +08:00

@simodorg V友是CQUPT学长？QAQ

CinderellaCiCi

2015-07-24 23:09:13 +08:00 via Android

@Septembers http://dns.cloudxns.net

simodorg

2015-07-24 23:13:57 +08:00

@49 不是不是，我还是个小屁孩...

gamexg

2015-07-25 13:33:56 +08:00

安利下刚刚做好的

https://github.com/GameXG/TcpRoute
TcpRoute ，tcp 层的路由器。对于 tcp 链接自动从多个线路、多个域名解析结果中选择最优的线路。

智能解析及gfwIP 都能自动屏蔽，目前唯一一个问题是 zh.wikipedia.org 、zh-cn.facebook.com、gist.github.com 会因未知原因被解析到 twitter.com 的IP ["199.16.158.168", "199.16.158.179"] ，已手动处理了。