1
hlz0812 2019-05-29 14:18:41 +08:00 via iPhone
听说过几次这个情况了,不知道技术上是如何污染到通过专线拉到境外出口的 dns 的
|
3
titanium98118 2019-05-29 15:11:19 +08:00
android9.0 可以启用 tls over dns
ios 可以装一个 cloudflare 的 app |
4
chen0717 OP @titanium98118 已启用加密 dns,现在能正常上网
|
5
yexm0 2019-05-29 15:50:15 +08:00 via Android
@hlz0812 你想多了。都是一家公司的网。想怎么玩就怎么玩。
www.cmi.chinamobile.com/sc/tendering 怕了的你换成 CSL 啊 3HK 啊 Smartone 啊不就没事了。 |
6
lidodo 2019-05-29 15:54:44 +08:00
今日发现同一情况
|
9
txydhr 2019-05-29 16:46:34 +08:00 via iPad
应该是没按照国际惯例和标准来配置漫游,估计得抓包什么的才能看出来
|
11
hlz0812 2019-05-29 17:48:38 +08:00 via iPhone
@yexm0 但是没有使用拜访地接入就是用归属地的 ip 和 dns 的啊,现在能抓 dns 的软件很多,有什么证据能证明用了漫游地 dns ?
|
13
hlz0812 2019-05-29 17:52:18 +08:00 via iPhone
dns 污染就只有两种情况,一种直接用了漫游地 dns,还有就是 dns 查询走了公网,墙具不具备监控和劫持专线业务的能力这个目前还不是很清楚
|
14
hlz0812 2019-05-29 17:55:33 +08:00 via iPhone
@chen0717 苹果的话下一个 surge,打开后上下网就能在抓包记录里找到响应 dns,安卓我暂时不用,可以自己查一下教程。我怀疑配置了两个 dns,一个有污染一个没污染。
还有就是卡插到华为的 4G 路由器设备里有软件可以直接读信令看下发 dns,没有华为路由器就算了,用软件抓包肯定可以 |
15
yexm0 2019-05-29 18:12:39 +08:00 via Android
@hlz0812 那你可以慢慢研究,反正人家的招标目的就是给你 cmcc 用 cmhk 的 dns 和网关让你能上谷歌。反推让 cmhk 用 cmcc 的也是正常不过的事。
|
16
txydhr 2019-05-29 18:16:33 +08:00
https://www.v2ex.com/t/542622
几个月前有人有相同的问题。 两种可能吧 1. dns 流量直接未经过母运营商,这种属于不符合规范了 2. dns 配置有问题,比如配置了境内的 dns,流量虽然经过了 cmhk 香港,但是从境外向内地 dns 的查询也是被污染的 |
17
hlz0812 2019-05-29 19:53:46 +08:00 via iPhone
@yexm0 这个要开无忧行才能接入 cmhk 的 APN 吧?普通的国际漫游我试过 ip 是北京移动的,无忧行是香港中信的 ip (不是 cmhk 的 ip )
关键他的 ip 是 cmhk 的啊,如果改成拜访地接入 ip 就暴露了,这才是无法理解的地方,而且有人抓过 dns,返回污染结果的 dns 也是 cmhk 的 |
18
chen0717 OP @hlz0812 那是不是因为 cmhk 的 dns 配置不正确才被内地的 dns 污染的?
|
19
hlz0812 2019-05-29 21:02:13 +08:00 via iPhone
@chen0717 cmhk 的 dns 是香港本地的,而且漫游时确实也是请求的香港 dns,我个人认为墙已经在专线上部署了,只不过一般人不用专线,所以没有引起较大反应,专线上很可能也存在审查设备,只是没有公网的墙严
|
20
chen0717 OP @hlz0812 但是 cmhk 的客服向我保证在内地是无墙的,而且我在广州和深圳也确实没有墙
|
21
hlz0812 2019-05-29 21:31:15 +08:00 via iPhone
@chen0717 可以是部分省的网关在转发流量时不是硬件转发,所以漫游地也可以对流量进行审查。就像电信的光猫可以对桥接模式下的流量进行过滤和控制,显然也不符合标准,理论上桥接的流量外部设备也是无法干扰的,所以可能是软件转发流量,就可以劫持了,如果加密流量,软件桥理论上就无法劫持流量
|
22
shermano 2019-05-30 00:43:19 +08:00
感觉可能是不同地区 DNS 设定的问题:
看 DNS 是不是被污染了,可以 ping 一下可以通的 apple.com ,看返回的地址合不合理。理论上来说香港卡访问 apple.com 会直接用在香港或者其附近的知名 CDN (比如 Akamai Tech )而不是折返回内地,用内地运营商的 CDN。如果无故折返内地,则说明 DNS 有污染。而且我还发现在污染的情况下,google.com 有时指向的是 facebook.com 。 我最近用 CMHK 卡在不同地方的漫游测试结果: 广州:apple.com 被导向内地的城市。 深圳:没有发现问题。 长沙:apple.com 被导向内地的城市。 苏州:没有发现问题。 徐州:没有发现问题。 |
23
txydhr 2019-05-30 01:15:33 +08:00
|
24
txydhr 2019-05-30 01:23:56 +08:00
@hlz0812 感觉墙应该不会随意审查专线,即使有技术,因为这个技术你只敢用在几家中资的海外运营商,能想到的就是 cmhk 和 zong。其他运营商你不敢用呀,那就属于劫持别人的通信了。
|
27
shermano 2019-05-30 11:02:56 +08:00 via iPhone
@chen0717 暂时还没有。估计是内地这边的 dns 配置问题吧…… 感觉香港那边也不太能保障内地运营商承运的网络漫游的质量......
|
28
hlz0812 2019-05-30 11:09:50 +08:00 via iPhone
@txydhr 我觉得是移动自己搞了 dns 抢答,没考虑到 dns 污染问题,墙那边没有理由要求把漫游的人墙了,联通有的地方也这样
|
30
shermano 2019-05-30 11:41:01 +08:00 via iPhone
@chen0717 刚刚打了客服电话。已经反馈这个情况给 cmhk。他们给不了具体的解决时间。同时,客服还说有其他客户也反映了类似的状况。这个需要 cmhk 的技术人员和内地方面反映,才能解决。但是内地又很大,不同地区的配置情况又不同,所以......香港那边只能保证在香港那边配置是正确的,到了内地之后服务质量可能受限于当地运营商。目前的解决就是:等待吧……等哪一天修好了……
|
31
hlz0812 2019-05-30 11:59:09 +08:00 via iPhone
@shermano 只要有多个地区出现问题,那肯定集团公司要求这么搞的,你觉得会有这么巧合的事吗?不同省想一起了
|
32
shermano 2019-05-30 12:12:41 +08:00 via iPhone
|
33
lucifer9 2019-05-30 14:37:12 +08:00
不知其他国外运营商,比如 Fi 的漫游,是不是也受类似影响呢
如果 Fi 漫游走移动也有类似现象,那么 DNS 的可能性就比较大了 |
36
txydhr 2019-05-30 15:34:15 +08:00 via iPad
@hlz0812 有可能,估计 cmhk 和 cm 之间的漫游没有加密,导致移动的劫持服务器没有排除掉 cmhk 的漫游用户。我也想到了,但是移动网络也会和宽带一样劫持 dns 么。
|
37
xiaocongcong 2019-05-30 15:38:05 +08:00
在新加坡用了几天 cmhk,不用翻真的爽歪歪。回来之后好郁闷
|
39
hlz0812 2019-05-30 16:00:33 +08:00 via iPhone
@txydhr 我觉得是故意搞的,劫持移动网络的技术和宽带劫持的技术肯定不一样,我觉得是网络里加装设备,把发往 cmhk 的 dns 请求转发给大陆的 dns 服务器,然后假装成 cmhk 的 dns 返回结果,可能本来只是为了加快 dns 解析,没考虑到这个问题,某部门应该不会丧心病狂到要求运营商劫持海外用户流量吧
|
40
snoopygao 2019-05-30 16:08:43 +08:00
18 美元 1 年的 changeip(鲨鱼机房) $$起飞
|
42
leido 2019-05-30 19:10:30 +08:00
移动有拜访地接入,但是香港的卡应该是直接走香港 ggsn 的,各地区设置不同吧。
|
43
txydhr 2019-05-30 20:44:44 +08:00
@hlz0812 我记得移动 n 年前发文说明了使用第三方 dns 可能对移动用户造成“用户体验下降”,所以很多地方就搞了 dns 劫持,cmhk 应该是误伤。
|
44
hlz0812 2019-05-30 21:35:46 +08:00 via iPhone
@txydhr 但 dns 劫持非公网流量也是第一次见,好比你挂了 v 上网,移动还能劫持你的 dns 一样,正常来说本地 dns 劫持根本没法劫持专线上的流量
|
45
chen0717 OP @xiaocongcong 你那里的 cmhk 也被污染了吗?
|
46
Kowloon 2019-05-31 00:14:45 +08:00 via iPhone
今天在深圳刚用了 CMHK 没发现问题
|
47
foru17 2019-05-31 02:15:42 +08:00 via iPhone
cuniq hk,坐标深圳也有 google 被污染的情况,我群里也已经有两三个人反应了,西安广州都有,我是用 1.1.1.1 解决了。
|
48
txydhr 2019-05-31 03:32:36 +08:00 via iPad
@hlz0812 可能没加密?有点类似于 ipv6 tunnel 也会被劫持和 reset ?虽然已经是专线了但是还是触发了关键词
|
49
txydhr 2019-05-31 03:35:18 +08:00 via iPad
@txydhr 唉,毕竟不是专业的,不知道从连接的中国移动基站到 cmhk 香港机房这段具体怎么配置的,有没有国际通用的标准。
|
50
hlz0812 2019-05-31 10:35:12 +08:00 via iPhone
|
51
xieyudi 2019-06-02 17:31:17 +08:00 via Android
4 楼的 "已启用加密 dns,现在能正常上网" 很有意思。
据我了解墙是分多种的。 正常来讲,dns 污染设备是在地级市都会有一套。各种 http/https 发 reset 往往是在出口前一跳。 我想应该是 dns 查询无状态所以更容易识别,所以全国大规模部署;而后者需要保存状态,需要用大量计算资源(集群),所以集中处理。anyway 重点是显然这两套系统是分开部署的。 照理说如果是拜访地接入,那么享受的恐怕就是普通强国内网的待遇了,解决了 dns 污染肯定还是上不了网的。所以不可能。 如果是纯粹的归属地接入,如果是 DNS 配置了大陆的 DNS 才出问题,那加密访问也不行,所以不可能。如果 DNS 配置了墙外的 DNS,那一开始就不应该有问题。 所以感觉可能解释是,某些地方的移动的 DNS 无差别劫持,然后误伤到漫游用户。劫持后因为过墙,所以还是被墙。 还有种可能就是有意为之,单独部署了一套 DNS 抢答设备。毕竟到处都是。 |
52
xieyudi 2019-06-02 17:46:18 +08:00 via Android
我前阵子在美国使用 AT&T 的卡是发现了一件事。感觉劫持 DNS 请求是国际惯例。
背景:我自己写了一个小型 DNS 服务器,部署在我的服务器上,用于动态解析。监听 UDP 53。这个服务器除了相应标准的请求外,还会接受一些我自定的非标准的命令(比如更新 A 记录,这样我家里 IP 地址变动是就向其发送一个这种包),和 DNS 一样都是由 UDP 53 完成(懒得再监听其他端口)。 我在家里的网测试,不管是 DNS 请求还是别的,都是通的。 诡异的是,我在用 4G 测试时,只有发送标准的 DNS 请求,服务器才收得到(当然那一头源 IP 是 AT&T 的网关)。如果往 UDP 53 发送非标准数据,另一头就收不到。 理论上 IP 网应该都是至少在传输层 /应用层透明的才对,可是这个事说明运营商会对 UDP 53 应用层的数据进行分析,分流,过滤。 |
53
hlz0812 2019-06-03 14:44:30 +08:00 via iPhone
@xieyudi 感觉有意为之可能性较大,因为一般意义上的 dns 抢答用于公网,隧道回源都可以被劫持那大概率在专线上有审查设备,毕竟传输的协议都不一样
|
55
leido 2019-06-03 22:08:05 +08:00 via Android
楼主不提供一下被劫持时候手机公网 ip 吗?
ip 都没看到就一堆猜测拜访地接入的 看一下手机分配的 dns 地址是什么 该自己解决的一定要问别人吗 |
56
chen0717 OP @leido 早就测试过了,分配到的是百分之百的香港 ip,至于分配到的 dns,请问怎么看
|
60
txydhr 2019-06-05 08:18:48 +08:00
@hlz0812 纯假设:也有可能 cmhk 的流量到地市级或者省级机房才进入专用隧道回港(反正在墙之前),而当地的 dns 抢答设备设在了区县甚至基站处,而国外运营商可能从基站处就进入专用隧道了。
|
62
txydhr 2019-06-05 08:34:33 +08:00
其实排除法就可以看出来了
楼主看一下 www.qq.com itunes.apple.com www.google.com 这三个的解析结果 正常漫游 前两者返回香港的 cdn 最后一个返回正常结果 如果是墙的劫持 前两者返回的是香港的 cdn 最后一个解析结果污染 如果是本地移动的劫持 前两者返回的是国内的 cdn 最后一个解析结果污染 或者楼主开个 nslookup www.qq.com 123.45.67.89 如果有结果返回就是本地移动 dns 劫持 也可以参考 http://nstool.netease.com/ |
66
hlz0812 2019-06-05 16:03:49 +08:00 via iPhone
@skylancer 国内三家的 dns 就全是公网,江苏电信 218.2.2.2/218.4.4.4,北京电信 219.141.141.10/219.141.136.10 ,北京移动 221.179.155.209
|
67
skylancer 2019-06-05 17:36:33 +08:00 via iPhone
|
69
skylancer 2019-06-05 17:38:29 +08:00 via iPhone
手滑了.. 联通电信才对,移动没卡了
|
70
yexm0 2019-06-05 18:16:48 +08:00 via Android
@skylancer csl? 1010? sun mobile? 3HK? Smartone? 自由鸟?
|
72
yexm0 2019-06-05 19:27:39 +08:00 via Android
|
77
chen0717 OP @hlz0812 今天 cmhk 回我电话,说解决不了我老家用不了 google facebook 的问题,说是因为当地的运营商配置有问题
|
78
ccav 2019-06-08 00:00:03 +08:00
UDP 劫持而已.所有的 53 端口 UDP 全部劫持.
|