这是一个创建于 1064 天前的主题,其中的信息可能已经有所发展或是发生改变。
墙内 dig @198.41.0.4 www.facebook.com
得到的直接就是地址
www.facebook.com. 214 IN A 31.13.95.37
;; Query time: 10 msec
;; SERVER: 198.41.0.4#53(198.41.0.4)
----------------------------
墙外 dig @198.41.0.4 www.facebook.com
让我去问下面的服务器
;; AUTHORITY SECTION:
com. 172800 IN NS a.gtld-servers.net.
com. 172800 IN NS b.gtld-servers.net.
com. 172800 IN NS c.gtld-servers.net.
[此处略去若干行]
;; Query time: 320 msec
;; SERVER: 198.41.0.4#53(198.41.0.4)
墙内的问询时间才 10ms ,这个应该在一个城市吧???
得到的直接就是地址
www.facebook.com. 214 IN A 31.13.95.37
;; Query time: 10 msec
;; SERVER: 198.41.0.4#53(198.41.0.4)
----------------------------
墙外 dig @198.41.0.4 www.facebook.com
让我去问下面的服务器
;; AUTHORITY SECTION:
com. 172800 IN NS a.gtld-servers.net.
com. 172800 IN NS b.gtld-servers.net.
com. 172800 IN NS c.gtld-servers.net.
[此处略去若干行]
;; Query time: 320 msec
;; SERVER: 198.41.0.4#53(198.41.0.4)
墙内的问询时间才 10ms ,这个应该在一个城市吧???
23 条回复 • 2021-12-06 15:52:19 +08:00
 |
1
pacificfish 2021-12-03 22:51:25 +08:00 via Android
海外 dns 只有 doh,tls 才不会被污染,明文 dns 就算用火星的 dns 一样污染,你要相信这拿纳税人的钱来供养的非常欠打的防火墙的实力
|
 |
2
jousca 2021-12-03 23:03:39 +08:00
@pacificfish 这叫“数据跨境安全网关”
|
|
3
jousca 2021-12-03 23:04:45 +08:00
只有使用 DOH 这样的才能防污染。但是也没用,FACEBOOK 是 DNS 污染+IP 屏蔽+域名访问请求拦截……
|
 |
4
kyor0 2021-12-03 23:05:31 +08:00
国内运营商基本会劫持国外的 udp:53 的 dns ,极少数没有。
简单的解决方法就是 tcp53 查询,或者非 53 端口的查询,当然 doh 等也是没问题的 |
 |
6
chotow 2021-12-03 23:23:34 +08:00
|
|
7
jousca 2021-12-04 01:09:16 +08:00
@pcslide 返回一个在防火墙上已经封锁的已知 IP 。比返回一个不在墙上的其他 CDN 地址靠谱吧。哈哈,从封锁目的来说。
|
 |
8
learningman 2021-12-04 07:43:50 +08:00 via Android
@pcslide 关键词:路由扩散
|
 |
9
TomChaai 2021-12-04 12:49:13 +08:00
@pcslide DNS 服务器一般是不屏蔽的,谷歌 DNS 都可达。
DNS 封锁的方法是侦听你发出去的请求,正常请求不管,发现被封的网站直接伪造个答复抢在前面发回来。返回 TWFB 的地址属于我们的经典操作。 TWFB 的 IP 是几乎整个 AS 级别都不可达的,所以被用来当作干扰答案。 |
 |
10
LGA1150 2021-12-04 18:05:33 +08:00 via Android
发一个利用特征过滤掉 DNS 抢答包的 bpf 规则,仅匹配 Google DNS 8.8.8.8/8.8.4.4:
iptables -t raw -I PREROUTING -i ( WAN 口名称) -m bpf --bytecode "13,32 0 0 12,21 1 0 1121718826,21 0 9 755778626,48 0 0 9,21 0 7 41,48 0 0 8,53 5 0 240,48 0 0 26,21 0 3 17,40 0 0 60,21 0 1 53,6 0 0 262144,6 0 0 0" -j DROP |
|
11
LGA1150 2021-12-04 18:07:18 +08:00 via Android
发错了,应该是这个
iptables -t raw -I PREROUTING -i WAN 口名称 -m bpf --bytecode "17,32 0 0 12,21 1 0 134744072,21 0 13 134743044,48 0 0 9,21 0 11 17,48 0 0 6,21 8 0 64,48 0 0 8,53 0 6 100,40 0 0 6,69 5 0 8191,177 0 0 0,80 0 0 10,84 0 0 4,21 0 1 4,6 0 0 262144,6 0 0 0" -j DROP |
 |
12
pcslide OP @LGA1150 发现墙内连 8.8.8.8 似乎是幻觉,你把抢答的包毙了,你很大可能就解析不出地址。我试了用 dns over tls 和 dns over https 都连不上 google cloudflare opendns 的 dns 服务
|
 |
14
jmk92 2021-12-04 18:42:32 +08:00
何止 udp53 ,tcp53 一样劫持,反正不用 53 端口就是了,DoT/DoH 选一个
|
 |
15
Leeds 2021-12-04 19:25:58 +08:00 via Android
海外裸连 53 端口 dns 就是这样,你可以康康我的 160.16.123.42 怎么样
|
|
16
pcslide OP @LGA1150 8.8.8.8 和其他常用的 dns 服务器无法建立有效的 https 和 tls 是连接,不管是 udp 还是 tcp 都没用,可能以前觉得好用,是被快速抢答的错觉。。。
|
 |
18
wwbfred 2021-12-04 22:00:22 +08:00
@LGA1150 这是什么特征?我现在是扫抢答 IP 加到 iptables 里过滤,准确性不错,但一个一个检查总觉得很傻逼……
|
 |
19
v2tudnew 2021-12-05 00:13:06 +08:00
@pcslide #16 恭喜你发现真相了😆。我这谷歌 TLS 可以,延迟也低(不知道运营商抽的什么风)。如果你用公共网络,很大概率你改的任何 DNS 都是无效的,这种美名其曰叫 DNS 代理、DNS 缓存加速。
|
 |
20
cwek 2021-12-05 19:41:54 +08:00
劫持本身基础操作吧,再加上根域名服务器是任播的,国内有镜像,全部给你路由到国内镜像都可以,而且也不是没试过将国外请求路由到国内镜像然后出包了。
|
|
21
cwek 2021-12-05 19:43:42 +08:00
抢答的话,估计是返回的包 TTL 大得离谱,成为一种识别特征吧
|
 |
22
2i2Re2PLMaDnghL 2021-12-06 14:50:36 +08:00
抢答不是劫持
连 8.8.8.8 只有触发过滤才是幻觉,可以看响应包。连得快是因为 Google 优化好,出了门就是。 而且 dig +tcp 最明显,触发过滤就被 RST ,原因是技术手段是旁听人不是中间人( TCP 有状态,中间人消耗算力爆炸)。 过滤发生在边际,跟访问谁无关,尝试 dig www.google.com @<填入任意有路由且非 DNS 的 IP> 再尝试 dig www.baidu.com @<上述同 IP> |
 |
23
DonDonc 2021-12-06 15:52:19 +08:00
|
Select Language