V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hiboshi
V2EX  ›  宽带症候群

怎么解决上海 DNS 污染

  •  3
     
  •   hiboshi · 2015-12-30 11:10:20 +08:00 · 8655 次点击
    这是一个创建于 3250 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前任何一个不存在的域名都指定到 180.168.41.175
    更改 DNS 223.5.5.5 8.8.8.8 都无效,自建 dns 也无效,难道现在直接在 53 端口伪造回复了么。在不安装软件的情况下如何搞定 dns 污染?

    上海电信 丧心病狂。目测会向全国推广。

    第 1 条附言  ·  2015-12-31 00:45:57 +08:00
    感谢大家,最后不得已在树莓派上搭建使用 dnsmasq 解决的。
    48 条回复    2016-01-01 09:28:52 +08:00
    Daiat9
        1
    Daiat9  
       2015-12-30 11:17:00 +08:00
    正在使用 onedns 暂时未遇到阁下的问题。
    songjiaxin2008
        2
    songjiaxin2008  
       2015-12-30 11:19:31 +08:00 via iPhone
    避免使用 53 端口的 DNS 可以解决
    Oi0Ydz26h9NkGCIz
        3
    Oi0Ydz26h9NkGCIz  
       2015-12-30 11:22:31 +08:00
    @Daiat9 阁下。。我感觉你说话像日本动漫里的人。。哈哈
    jarlyyn
        4
    jarlyyn  
       2015-12-30 11:24:27 +08:00
    t$ ping www.222ewqewqeqewq.com
    ping: unknown host www.222ewqewqeqewq.com

    用的阿里公共 Dns

    上海电信企业宽带。
    jonechenug
        5
    jonechenug  
       2015-12-30 11:26:00 +08:00 via Android
    你需要 chinadns ,国内 dns 用阿里或者 onedns ,国外 dns 转发谷歌 dns ,不用开压缩指针。
    Ixizi
        6
    Ixizi  
       2015-12-30 11:29:01 +08:00
    @jonechenug 会影响速度
    zingl
        7
    zingl  
       2015-12-30 11:36:02 +08:00
    hosts 里把 180.168.41.175 指向本机
    atan
        8
    atan  
       2015-12-30 11:40:05 +08:00
    路由器 dnsmasq 加上 bogus-nxdomain=180.168.41.189
    isbase
        9
    isbase  
       2015-12-30 11:43:20 +08:00 via Android
    TCP
    Oi0Ydz26h9NkGCIz
        10
    Oi0Ydz26h9NkGCIz  
       2015-12-30 11:43:31 +08:00
    @zingl hosts 里可以把 ip 指向 ip 吗?
    infinet
        11
    infinet  
       2015-12-30 11:45:20 +08:00
    我还以为就移动宽带重定向 DNS 。阁下需要 dnsmasq 。
    在配置文件里加一行:
    bogus-nxdomain=180.168.41.175

    根治只有通过 VPN 。 dnsmasq 可以指定域名通过 VPN 查询,其它通过你 ISP 的 DNS 。
    harry890829
        12
    harry890829  
       2015-12-30 11:48:10 +08:00
    反正上海长城的 dns 是污染了,但是电信还没有遇到过
    qianlicao353
        13
    qianlicao353  
       2015-12-30 11:51:18 +08:00
    @atan 正解
    tinkerer
        14
    tinkerer  
       2015-12-30 11:53:19 +08:00
    我是这么干的, dns 查询过 anyconnect 访问 vps 上的 dnsmasq , vps 上配置国内域名用 223.5.5.5 解析, 其余用 8.8.8.8 , 感谢 https://github.com/felixonmars/dnsmasq-china-list
    libook
        15
    libook  
       2015-12-30 14:01:59 +08:00
    将自己的网络环境的 DNS 换成固定的可靠的 DNS 呗~
    目前在用 DNSPOD 的 Public DNS+ 119.29.29.29 https://support.dnspod.cn/Kb/showarticle/tsid/241 在北京某二级运营商的网络中用着还可以,不知道你那边是否好用。
    likuku
        16
    likuku  
       2015-12-30 14:16:33 +08:00   ❤️ 1
    LZ 你需要 dnscrypt
    PublicID
        17
    PublicID  
       2015-12-30 15:07:38 +08:00
    raysonx
        18
    raysonx  
       2015-12-30 15:13:30 +08:00   ❤️ 1
    這種問題不需要用技術手段解決,樓主需要做的是收集證據,然後投訴。
    網絡劫持是違法行為,投訴起來運營商肯定怕的,不過最後結果往往是給你個人加入劫持白名單,
    lenran
        19
    lenran  
       2015-12-30 15:17:37 +08:00
    @raysonx 那就大家一起搜集证据,让尽可能多的人加入白名单
    raysonx
        20
    raysonx  
       2015-12-30 15:23:42 +08:00   ❤️ 1
    @lenran
    《中华人民共和国电信条例》( http://www.miit.gov.cn/n11293472/n11294912/n11296257/16519133.html
    第五十七条 任何组织或者个人不得有下列危害电信网络安全和信息安全的行为:

    (一)对电信网的功能或者存储、处理、传输的数据和应用程序进行删除或者修改;

    (二)利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动;

    (三)故意制作、复制、传播计算机病毒或者以其他方式攻击他人电信网络等电信设施;

    (四)危害电信网络安全和信息安全的其他行为。

    劫持 DNS 應當屬於修改傳輸數據、損害他人合法權益的行為。
    cyberdaemon
        21
    cyberdaemon  
       2015-12-30 15:26:25 +08:00
    @raysonx 这种劫持对于普通用户而言在上网体验会有什么影响?
    lenran
        22
    lenran  
       2015-12-30 15:28:14 +08:00
    @raysonx 法律不过是写在纸上的文字而已,要让法律有效的执行,路漫漫其修远兮啊
    likuku
        23
    likuku  
       2015-12-30 15:30:18 +08:00
    @cyberdaemon 你输入 A 站域名,实际却跑去完全不相干的 B 站。

    实际常遇到的情况:输入了一个错误的不存在站点域名,自动给解析跳转到 某导航网站。
    cyberdaemon
        24
    cyberdaemon  
       2015-12-30 15:34:44 +08:00
    @likuku 这个我碰到过,会跳转到 114 什么什么的
    lution
        25
    lution  
       2015-12-30 15:42:09 +08:00
    怎么解决大陆众多外国网站无法访问的问题?
    raysonx
        26
    raysonx  
       2015-12-30 16:04:17 +08:00
    @lenran 還是管用的,曾經幫朋友投訴成功過幾次。
    herojaxy
        27
    herojaxy  
       2015-12-30 16:04:17 +08:00
    家里正常,公司的网络症状跟楼主完全一样,改 DNS 根本没用
    yudeMacBook-Pro:12-30 yuzeng$ dig @1.1.1.1 meiyoudeyu.com

    ; <<>> DiG 9.8.3-P1 <<>> @1.1.1.1 meiyoudeyu.com
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5547
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;meiyoudeyu.com. IN A

    ;; ANSWER SECTION:
    meiyoudeyu.com. 32 IN A 180.168.41.175

    ;; Query time: 241 msec
    ;; SERVER: 1.1.1.1#53(1.1.1.1)
    ;; WHEN: Wed Dec 30 16:02:20 2015
    ;; MSG SIZE rcvd: 48


    随便造了个 1.1.1.1 ,居然都响应解析请求,这不见鬼么。
    dns 污染见多了,劫持还真是头一次。
    这应该算中间人攻击吧,性质非常恶劣。
    PublicID
        28
    PublicID  
       2015-12-30 16:05:02 +08:00
    DNSPod Public DNS+ 119.29.29.29
    lenran
        29
    lenran  
       2015-12-30 16:05:38 +08:00
    @raysonx 然后,你所在的省市就再也没有出现过运营商劫持的行为
    herojaxy
        30
    herojaxy  
       2015-12-30 16:06:11 +08:00
    只劫持 udp ,你换 tcp 就好了,不过 tcp 效率比不上 udp ,很慢
    cst4you
        31
    cst4you  
       2015-12-30 16:06:12 +08:00
    @lution
    官员: 你怎么知道是不是别人关你的门而不是我们关你呢?
    raysonx
        32
    raysonx  
       2015-12-30 16:11:23 +08:00
    @cyberdaemon
    @likuku
    危害非常大。
    我見過有朋友訪問 X 度被劫持到 X 狗,訪問 X 東被劫持到 X 貓的。
    想一想,如果你訪問銀行網站,被劫持到一個仿冒網站有多可怕。
    網絡安全是個系統工程,任何一個地方出問題都有可能導致不可估量的損失。
    raysonx
        33
    raysonx  
       2015-12-30 16:12:05 +08:00
    @lenran 只是對你不再劫持而已,別人家該劫的還是劫。
    raysonx
        34
    raysonx  
       2015-12-30 16:12:19 +08:00
    @lution 無解。
    lenran
        35
    lenran  
       2015-12-30 16:14:25 +08:00
    @raysonx 那有什么用?难不成让所有网民都去投诉?大多数小白连 tcp/ip 是什么都不知道,更别提劫持了
    edsgerlin
        36
    edsgerlin  
       2015-12-30 16:16:31 +08:00
    @lenran 没办法,工信部投诉了好歹不劫持你家~除非阁下建立个公共 DNSCrypt 服务器。
    lenran
        37
    lenran  
       2015-12-30 16:23:22 +08:00
    @edsgerlin 所以,还是“各人自扫门前雪,休管他人瓦上霜”,该匝地还匝地
    raysonx
        38
    raysonx  
       2015-12-30 16:53:04 +08:00
    @lenran 這就是現實,電信單位好歹還有工信部管著,能幫你自己處理好就很難得了。
    這年頭普通老百姓維權難啊,就比如我所在的帝都朝陽區,經常有裝修施工擾民。你能想像作為一個 IT 人每天早上六七點鐘被吵醒,週末節假日也不休止的痛苦嗎?非工作時間施工是違反我國的噪音污染防治法的,但是你拿它沒一點辦法,執法部門各种踢皮球。
    lenran
        39
    lenran  
       2015-12-30 17:00:10 +08:00
    @raysonx 我只能说,现实是很残酷的。。。
    但不要悲观,相信自己和他人。会变好的!
    cyberdaemon
        40
    cyberdaemon  
       2015-12-30 17:06:53 +08:00
    @raysonx 按你这么说,在天朝,要舒舒服服的上个网,你必须是个 IT 。。。。
    lenran
        41
    lenran  
       2015-12-30 17:16:17 +08:00
    @cyberdaemon IT 必备技能啊!有些新一点的技术,资料和文档只能看外文的,都木有翻译。
    letv
        42
    letv  
       2015-12-30 18:58:09 +08:00
    @raysonx 朝阳区房子不便宜啊。。。
    fredcc
        43
    fredcc  
       2015-12-30 19:04:13 +08:00 via Android
    上海电信用户未发现境内网站被污染
    raysonx
        44
    raysonx  
       2015-12-30 19:05:26 +08:00 via Android
    @letv 好幾個人一起合租的。。。
    jsq2627
        45
    jsq2627  
       2015-12-31 00:50:59 +08:00 via iPhone
    推荐自产的 DNSAgent
    https://github.com/stackia/DNSAgent
    xiadong1994
        46
    xiadong1994  
       2015-12-31 08:51:50 +08:00 via iPhone
    我是在路由 dnsmasq 里设置为把特定请求转发到一个没用 53 端口的 dns 服务器那里。
    datou
        47
    datou  
       2015-12-31 12:10:41 +08:00
    根治 dns 污染只有 ipv6 一条路
    qq651438555
        48
    qq651438555  
       2016-01-01 09:28:52 +08:00
    @xiadong1994 怎么设置的啊?搞不定啊。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2811 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 94ms · UTC 14:09 · PVG 22:09 · LAX 06:09 · JFK 09:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.