DNS TCP 查询也被污染了？？ - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DNS 参考资料

› List of DNS Record Types

› dig 使用说明

› djbdns

› DNS Parameters

› dnslib for Python

这是一个创建于 1737 天前的主题，其中的信息可能已经有所发展或是发生改变。

白天都还没有污染，晚上发现已经污染了！！网络：广东联通宽带。

求证其他地区的情况。

bogon: ~ ]
user$ dig +tcp @8.8.4.4 abc.facebook.com

; <<>> DiG 9.8.3-P1 <<>> +tcp @8.8.4.4 abc.facebook.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42184
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;abc.facebook.com.		IN	A

;; ANSWER SECTION:
abc.facebook.com.	249	IN	A	173.252.102.16

;; Query time: 77 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Tue Feb 25 20:21:14 2020
;; MSG SIZE  rcvd: 50

bogon: ~ ]
user$ dig +tcp @8.8.4.4 xxx.abc.facebook.com

; <<>> DiG 9.8.3-P1 <<>> +tcp @8.8.4.4 xxx.abc.facebook.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13805
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;xxx.abc.facebook.com.		IN	A

;; ANSWER SECTION:
xxx.abc.facebook.com.	242	IN	A	31.13.64.1

;; Query time: 76 msec
;; SERVER: 8.8.4.4#53(8.8.4.4)
;; WHEN: Tue Feb 25 20:21:18 2020
;; MSG SIZE  rcvd: 54

18 条回复 • 2020-03-12 09:28:58 +08:00

1

mason961125

2020-02-25 20:41:08 +08:00

致远星

2

liuxyon

2020-02-25 20:47:12 +08:00

你看看你的路由

3

suspended

OP

2020-02-25 20:50:23 +08:00

@liuxyon 看不到路由，协议被联通掐了。- -b

4

love

2020-02-25 20:52:03 +08:00

为啥我这里
dig +tcp @8.8.4.4 www.facebook.com
;; communications error to 8.8.4.4#53: connection reset

dig 百度没被 reset

5

suspended

OP

2020-02-25 20:59:37 +08:00

@love 看来党国确实打算干掉 DNS over TCP 了，惨惨惨

6

txydhr

2020-02-25 21:07:24 +08:00 via iPhone

楼主火星了很久之前就这样了

7

reus

2020-02-25 21:09:28 +08:00

又不是端对端加密的，不奇怪

8

suspended

OP

2020-02-25 21:14:47 +08:00

@txydhr 好吧，确实火星了。。。

9

yankebupt

2020-02-25 22:04:57 +08:00

北京聯通確認。
好像確實是新加的。因爲記得原來 tcp 查股溝沒問題的。
另外可能 dns 包太小了，旁路阻斷可能爲了防止自己成爲被 D 目標，多次重複打 dig +tcp 命令後會擊穿雙向 reset，直接返回結果……
不知道拿什麼設備做的

10

leido

2020-02-25 22:11:00 +08:00 via Android

出境 tcp 都不可信

11

geekvcn

2020-02-25 22:43:16 +08:00

53 5353 端口 TCP 直接 rest，opendns 443 端口可以但是随机阻断

12

geekvcn

2020-02-25 22:46:07 +08:00

记错了 53 tcp 直接 connection reset 5353 和 443 间歇阻断

13

Tink

2020-02-25 23:09:18 +08:00 via iPhone

ss-tunnel

14

yankebupt

2020-02-25 23:13:37 +08:00

有點氣，直接兩頭加了 dns 端口 reset flag drop...
tunnel 過兩天有時間再搞

15

SuperFashi

2020-02-25 23:34:32 +08:00 via Android

火星了。要用的话还是 tcp-tls 或者 over https 吧

16

HaoranLi

2020-02-26 10:44:32 +08:00

smartdns+DOT 香的不行,没出过什么问题

17

liuxyon

2020-02-27 17:51:11 +08:00

@suspended #3 所以你应该明白实际中断到目的地的路由,然后拦截询问回答假的

18

youtoshell

2020-03-12 09:28:58 +08:00

DNS 服务器加入黑名单走代理。

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 1014 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 23ms · UTC 21:15 · PVG 05:15 · LAX 13:15 · JFK 16:15
Developed with CodeLauncher
♥ Do have faith in what you're doing.