测试了一下 DoH/DoT 的可用性,讨论一下今后加密 DNS 的解决方案
Hackerchai · 2021-03-08 16:03:59 +08:00 · 8160 次点击这是一个创建于 1348 天前的主题,其中的信息可能已经有所发展或是发生改变。
下午测试了一下 DoH/DoT 的可用性,很惨烈
主流服务几乎没有幸存,只有类似 NextDNS 这种 IP 地理分布广的服务商,部分 ip 没有被屏蔽而已 P1
屏蔽的方式采用的是 sni 检测 和 路由黑洞 ,有些域名直接就被 RST 了,而其他的则是无限的等待。不过这些加密 DNS 的域名并没有被污染
P2 我自己的自建服务器也被屏蔽了 DoT 而 DoH 正常。随后我做了测试 P3 ,发现很多屏蔽 DoT 的服务器 DoH 正常。小众的 DNS 正常。这也印证了一个猜测,DoH 因为共用 HTTPS 协议的 443 端口,不能一刀切,所以需要 sni 黑名单 + ip 黑名单 。而 DoT 可以直接屏蔽来自境外的 853 端口
综合来看,加密 DNS 马上就会在国内死掉。可能的解决方案有:
- 使用自建
DNS,用DoH协议,人数少偷偷用 - 使用
Use DoH/DoT with Proxy的方案,但是需要各个代理工具的支持(Surge支持,而Clash不支持)。我试验过Surge的Use DoH with Proxy,能用,但是国内网站的 cdn 体验就直接爆炸了
P1:
P2:
P3:
 |
1
tia 2021-03-08 16:18:04 +08:00  1
iplc 是最终归宿
|
 |
2
AoTmmy 2021-03-08 16:18:11 +08:00 via Android
单独用境外 dns 延迟很高而且返回的 IP 不是最快的 IP 所以不配合别的软件意义不大,但是用了别的软件就不需要走本地网络连接境外的加密 dns 了
|
 |
3
brMu 2021-03-08 16:28:44 +08:00
smartdns 分流+DNS using 53 over proxy,足够了,Don't need DoT,DoH!
|
 |
4
benjix 2021-03-08 16:30:22 +08:00 via Android
自建 doh 很稳,用两年了
|
 |
5
soulzz 2021-03-08 16:35:40 +08:00
自建 dot+edns 基本解决问题
|
 |
6
Hackerchai OP @soulzz +1
|
|
7
Hackerchai OP @soulzz 不过你现在自建的 dot 没有被阻断么
|
|
8
Hackerchai OP @benjix 服务器在境外么
|
|
9
Hackerchai OP @brMu 实际上 doh/dot 是隐私考虑,不想让运营商和 gxw 看到我的访问记录罢了
|
 |
10
tediorelee 2021-03-08 16:41:58 +08:00
@benjix 有自建教程吗
|
 |
11
neverbelieveyou 2021-03-08 16:42:01 +08:00 via Android
我这里也是一样,所有国外 dot 无法使用,doh 正常。
|
|
12
Hackerchai OP @AoTmmy 自建 vps 可以用 edns 来返回最快的 ip,实际上我们现在用的分流软件访问境外网站直接都是交给代理(传的是域名,dns 解析实际上是代理服务器做的),前面询问一次 dns 只是确定它是不是 ip 在国外,所以自建 dns 只要把国内常用网站的 edns 做好+ 境外网站使用无污染上游就行
|
|
13
Hackerchai OP @neverbelieveyou doh 肯定是靠封域名和 ip,肯定有遗漏,未来就不一定了
|
 |
14
geekvcn 2021-03-08 16:55:00 +08:00 via iPhone
我是国内阿里的 DoH EDNS 支持的不错,国外谷歌的 DoH,试过只用国外的 DoH + EDNS,国内支持还是不好,百度 IP 获取到的还是香港 IP 。未来肯定还是 DoQ 好,毕竟 DNS 请求延时也是体验的一部分,Quic 既安全又能降低延时,但是目前只有 Adguard 支持 DoQ
|
|
15
Hackerchai OP @geekvcn 用的什么 dns 分流工具呢
|
|
16
geekvcn 2021-03-08 17:12:53 +08:00 via iPhone
@Hackerchai smartdns
|
 |
17
HalloCQ 2021-03-08 17:13:27 +08:00
我这里测试 1001 的 doh 还能用
|
|
18
geekvcn 2021-03-08 17:14:35 +08:00 via iPhone
@Hackerchai 不过 smartdns DoH 有坑,按照官方文档设置 DoH 启动会报错
|
 |
19
Zhouisme 2021-03-08 17:15:52 +08:00 via Android
国内阿里腾讯都是有 DOT,DOH 的,作为本地上游,国外的 DOT 好虽好,不适合国情,解析很多都是国外 IP,严重拖慢。
|
|
21
Hackerchai OP @HalloCQ 是的,我的图上也是这样
|
|
22
Hackerchai OP @geekvcn 跑在路由器么
|
|
23
Hackerchai OP @Zhouisme 做分流啊,国内域名就直接 53udp 吧,国外走 doh
|
|
24
geekvcn 2021-03-08 17:44:01 +08:00 via iPhone
@Hackerchai 随便跑在哪里,基本啥设备都支持
|
 |
26
matolv 2021-03-08 17:57:30 +08:00
国内 dns 都有污染,隐私也是和国策相违背。用 dot/doh 唯一作用是防劫持或者广告,用处基本不大,udp 53 也没问题。仅移动强中强用户会有点奇效。
国外 dns 自然是给远程服务器使用的,访问国外的流量经过一次中转才进入国内,而 aws,gcp 甚至 ali,无论哪个机房到公共 dns 的速度都极快。重要的是分流而非使用哪个 dns,参考知名工具 v2ray 如何实现一站式分流 |
|
27
benjix 2021-03-08 18:01:13 +08:00
@Hackerchai 在境外,用的免费的韩国的 Oracle cloud
|
|
28
benjix 2021-03-08 18:01:44 +08:00
|
 |
29
Jirajine 2021-03-08 18:16:47 +08:00 via Android
@AoTmmy 用来 bootstrap 啊,很多鸡场节点是用的域名,直连的 doh/dot 用于解析这些域名防止污染以及不留下记录。
连上以后就可以走代理解析了。 |
|
30
Hackerchai OP 4
@matolv 好一个“隐私也是和和国策相违”,跪太久了?
|
 |
31
LnTrx 2021-03-08 18:58:47 +08:00
距离在 https://www.v2ex.com/t/742709 探讨两者差异才过了一个月不到
|
|
32
Hackerchai OP @LnTrx 魔幻日常,这个东西在中国消失只是时间问题
|
 |
33
Kobayashi 2021-03-08 19:59:09 +08:00 5
只不过是 DoT, DoH 方案被墙而已,在 DoT, DoH 没出现之前流行的方案还有很多存活着
- 丢伪包方案,和 GFW 硬扛:ChinaDNS 时延判断法; semigodking/cdns 根据伪包没有 EDNS option 丢包; puxxustc/sans,预请求 SOA 做判断丢伪包 - 非标端口 UDP:opendns 的 443, 5353,Quad9 的 9953 - dnscrypt,DoT, DoH 出现之前的加密方案: 公共 DNS 里 opendns, quad9 有部署 - (以上方案都支持直连) - Proxy 转发 DNS 请求 曾经失效过的方案 - 黑名单:最早 ChinaDNS 引入,这种方案已经被证实不靠谱,但抵不住有些傻 x 还在用,如 smartdns - 压缩指针:“损坏”DNS 包,变相绕过识别 这些知识都是本坛 DNS 节点学来的,有兴趣可以深入挖掘一下。 另外分流方案: - 老牌:unbound/dnsmasq + chinadns (或 chinadns 变种) - unbound/dnsmasq + dnsmasq-china-list (纯域名名单的话列表太大,好几万,不喜欢这套方案) - 一体式(自己把域名分流、IP 分流、DoT, DoH, dnscrypt, proxy 、域名屏蔽、缓存 的活全干了):overture (一度流行跨平台,不过配置文件个数支持有限)。coredns 每次需要编译没怎么搞(不知道有没有 IP 分流插件)。 现在只推荐 mosdns (非 moschina-dns ),属于一体式方案。没有 overture 配置文件个数的限制(比如 domain 列表文件只能有一个 primary,一个 alterntive,不能再多)。也不像 coredns 每次需要重新编译。 |
 |
34
Bunnyranch 2021-03-08 20:45:07 +08:00
@swulling
@Hackerchai @matolv 不是说 UDP 容易被中间人截取么 用 UDP 不会被国产软件截取我的请求吗,我现在用的 dnspod 的 DOH..有点想用电信的 UDP 算了.. |
 |
35
Love4Taylor 2021-03-08 20:47:24 +08:00 via iPhone
fake-ip 不可避
|
|
36
matolv 2021-03-08 22:25:00 +08:00
@Bunnyranch 非本地劫持一般以 http 劫持居多,dns 劫持居少,除了长城以外的大规模劫持都是要被请喝茶的。你的问题其实在于什么本地软件会截取你的请求,那只有 360,qq 管家能做到,你不用就是了。一般软件何德何能又又何必要如此去做呢?
像楼上说的 fake-ip 或者 fake-dns 是 v2ray 最新版刚引入的功能,也许对于某些特殊需求的人有用,与其被他人劫持不如此自己劫持自己,但也不是万能,现在很多软件需要你的 ip 才给你授权,比如 netflix |
 |
37
systemcall 2021-03-08 23:16:59 +08:00 via Android
一个月前还可以用 cloudflare 的 doh 和 dot 的。现在什么都没了
|
|
38
Hackerchai OP @Bunnyranch udp 明文,你的运用运营商 /宽带提供商劫持用来投放广告之类的,用 doh/dot 就不会出现劫持
|
|
39
Hackerchai OP @systemcall 自建吧
|
 |
40
hutng 2021-03-09 00:32:18 +08:00 via Android
即使用了 dot/doh,不开 esni 运营商还是能看到访问网站的记录,话说中国联通的 app 还自带这个功能,可以查询自己访问了哪些网站😖
更大的用途还是过 qiang 吧,国内网络环境真是越来越差了,openwrt 直连源 update 一下,要几分钟,网速都是 500B/s 。。。哎 |
 |
41
miaomiao888 2021-03-09 00:41:49 +08:00
谷歌和某个日本的 DOT 被放行了,如果是针对所有国外 853 端口,这怎么个回事
|
|
42
Hackerchai OP @hutng 用代理不就看不到了
|
|
43
Hackerchai OP @miaomiao888 怀疑是 dns.google.com 这个?我也发现了
|
 |
44
xarthur 2021-03-09 07:47:43 +08:00 via iPhone
1. ESNI 已经直接被墙了
2. DoH 似乎不是所有的 DNS 都被墙了,原因不明 3. 现在似乎直接用 IP 段分流比较合适。 比如 https://github.com/Hackl0us/GeoIP2-CN/blob/master/main.go |
 |
45
xenme 2021-03-09 08:27:54 +08:00 via iPhone
关键还是分流,国内走 doh/dot 避免运营商劫持和监视,国外全走代理
|
|
48
Hackerchai OP @xarthur esni 未来还有 ech 支持,不过看起来也不会活得长
|
 |
49
xtli12 2021-03-09 11:15:40 +08:00 via iPhone
我用的 chinadns 黑名单
|
 |
50
swulling 2021-03-09 11:45:45 +08:00
@Bunnyranch 本地软件如果获取到 Root 或者系统管理员权限,它搞事你用啥都无效,也没有任何的安全策略可以防止。
DoH/DoT 乃至于之前的 HTTPS 等都只防中间人看到你的信息,劫持你的回话。 |
 |
51
dingwen07 2021-03-09 15:19:41 +08:00 via iPhone
Clash 应该是支持 DoT 的,DNS 服务器增加 tls://example.com
|
|
52
Hackerchai OP @dingwen07 但是不支持 dot over proxy
|
 |
53
ungrown 2021-03-10 12:26:53 +08:00
我也觉得传统 dns 够用,虽然我用的移动家宽是铁定抢答 dns 返回包的,但无所谓。墙外的总归得翻,翻过的 dns 已经靠谱了,广告什么的就靠浏览器插件
|
 |
54
zenghx 2021-04-08 11:59:12 +08:00 via Android
@Hackerchai 有了 ip 不还是可以看到你访问了什么吗
|
Select Language