V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
autulin
V2EX  ›  DNS

请问如何有效率地解决“局域网式”宽带的 DNS 自我阉割问题?

  •  
  •   autulin · 2015-11-21 22:50:27 +08:00 · 6314 次点击
    这是一个创建于 3281 天前的主题,其中的信息可能已经有所发展或是发生改变。

    湖北移动丧天良,宽带获取的 IP 是个内网 IP 不说,就连 DNS 也进行自我阉割,造成上国内网站都是被墙的效果,之前有段时间连 CSDN 和 ZHIHU 都被搞了,实在受不了,我现在已经做了以下措施,但是有一定的问题,特来请教

    1.修改 Hosts 文件,但是很奇怪,部分网站会失效,比如说我将 google 和 inoreader 的静态 IP 都写进了 Hosts 文件,我可以直接打开 google.com ,但是并不能直接访问 inoreader.com ,但是我直接使用 92.247.181.40 还是可以访问 inoreader 的。这是什么问题?

    2.对于部分被误伤的网站,使用 DAILI ,但是这无疑会增加访问的延迟,所以我还是想通过自定义 DNS 来解决,对于国外的如 8.8.8.8 这种无疑会本末倒置,所以各位有什么推荐的国内的健康的 DNS 服务器吗?

    26 条回复    2015-12-02 22:44:43 +08:00
    fengxing
        1
    fengxing  
       2015-11-21 23:17:25 +08:00   ❤️ 1
    aries1998
        2
    aries1998  
       2015-11-22 04:45:39 +08:00
    多谢楼上的, 我也是武汉移动的, 深受国内域名劫持困扰, 虽然没有用到你给的那个东西, 那个是解决被墙掉的域名的,我是用 pdnsd 解决的, 国内域名用的话, 可能会出现跨网访问很慢的情况, 我用里面提到的 https://github.com/felixonmars/dnsmasq-china-list , 貌似解决了国内域名被移动各种劫持的问题, 目前一切 ok.
    yaxin
        3
    yaxin  
       2015-11-22 08:53:50 +08:00 via iPhone
    工信部不就是管这个的吗?
    GNiux
        4
    GNiux  
       2015-11-22 10:33:01 +08:00 via iPhone
    "宽带获取的 IP 是个内网 IP 不说"——确定是个问题?
    cskeleton
        5
    cskeleton  
       2015-11-22 13:15:54 +08:00
    @fengxing 我这边用这货,淘宝京东百度等等很多国内网站都被解析到国外去了
    binghe
        6
    binghe  
       2015-11-22 17:18:20 +08:00
    我去年刚换光纤时,一开始也是获取电信内网 ip 的 10.x.x.x ,并且不需要进行拨号,因为在这之前我是用花生壳连接回家里电脑的,一变成他们的内网 IP,我又要折腾半天,于是致电 10000 号,跟客服小妹说我是从事互联网工作的,现在宽带变成他们的内网 IP ,给我工作上的带来非常多的不便,小妹立马爽快的把我的宽带改成 PPPOE 拨号模式,并且马上就变成获取公网 IP 了。
    fengxing
        7
    fengxing  
       2015-11-22 17:55:53 +08:00
    @cskeleton 改配置文件,能国内网站解析到国内地址的
    fengxing
        8
    fengxing  
       2015-11-22 17:57:31 +08:00
    @aries1998 强烈推荐我发的这个软件,这个防止 DNS 污染的效果非常好,国内外的网站均可解决污染
    aries1998
        9
    aries1998  
       2015-11-22 18:22:40 +08:00
    @fengxing 谢谢, 我 openwrt 上鼓捣试试看, 看文档说明貌似综合了几个解决方案的思路在一起, 回头报告效果.
    aries1998
        10
    aries1998  
       2015-11-22 18:45:07 +08:00
    @fengxing 刚刚试了下, 绝大部分情况下 pcap_dnsproxy 可以替代 chinadns+pdnsd 或 dnscrypt, 但是部分国内网站还是有问题, 比如乐视直播, 用 pcap_dnsproxy 直播的域名貌似解析有问题, 无法播放.

    在 pcap_dnsproxy_openwrt 这个项目页面上有句话"对于国内域名解析,不推荐使用本程序,建议搭配 dnsmasq-china-list 项目使用可获得较好效果。" , 我也没能力分析到底是哪里有问题.


    给楼主一个参考, 我目前 openwrt 上面是 dnsmasq+chinadns+pdnsd, 再加上 dnsmasq-china-list 的配资, 目前用了一天, 没有发现任何问题. 为什么说没问题, 因为 chrome 上面装了 switchomega 代理切换的插件,如果站点有资源加载不了, 那里会显示数目的, 之前没有用 china-list 配资的时候, 各种数字, 现在几乎都是 0.
    smileawei
        11
    smileawei  
       2015-11-23 08:19:03 +08:00 via iPhone
    一个网站的资源,不一定都在一个域上, F12 看网络标签下,那个资源加载失败
    autulin
        12
    autulin  
    OP
       2015-11-23 09:55:00 +08:00
    @fengxing 感谢推荐!看样子应该是一个 DNS 代理,正在捣鼓国内 DNS 白名单,希望有一个好的效果
    autulin
        13
    autulin  
    OP
       2015-11-23 09:58:37 +08:00
    @smileawei 这个问题是有的,但是只会造成部分元素加载不出来(比如现在也有使用 cdn.zhuji.com 的图床的图片无法访问的问题)。另外对于 CDN 这种按地理位置分配服务器节点的改 DNS 感觉作用不太好
    smileawei
        14
    smileawei  
       2015-11-23 11:48:47 +08:00
    @autulin 哎 我很理解你的心情,就像去年我家里用了一年的长城宽带。也是各种纠结。折腾半天。今年换了电信。 12M 的 adsl 也比长城的 100M 光纤用着省心
    autulin
        15
    autulin  
    OP
       2015-11-23 14:02:06 +08:00
    @smileawei 长城宽带室友用过,标称 10M ,用迅雷高速通道加速离线下载速度保持 100+kb/s 。有钱还是上电信
    Khlieb
        16
    Khlieb  
       2015-11-23 15:37:54 +08:00 via Android
    aries1998
        17
    aries1998  
       2015-11-24 02:16:23 +08:00
    pcap_dnsproxy 还蛮好用的, 之前有问题是默认配置不对, 默认配置不改的话国内域名解析会有问题,具体就是 Local Main = 1 , 默认是 0

    另外移动宽带会对国内 53 端口 udp 的 dns 服务器解析投毒, 碰到打不开域名, 去 chrome://net-internals/#dns 看看解析到什么地址, 把这个投毒的地址加到 IPFilter.conf 就行了, 一般这个域名是移动的 ip, 像我这里就是武汉移动的 ip, 这两个做了以后, 各种爽啊,一点不比电信差
    streamgo
        18
    streamgo  
       2015-11-26 11:45:48 +08:00
    @aries1998

    Local Hosts = 1
    Local Main = 1
    Local Routing = 1

    这三项都需要设置为 1 吗?请教了。
    lastczj
        19
    lastczj  
       2015-11-26 11:54:45 +08:00   ❤️ 1
    @streamgo 开启 Local Routing 必须开启 Local Main , Local Hosts 和 Local Routing 不能同时开启,会有问题!
    streamgo
        20
    streamgo  
       2015-11-26 12:33:08 +08:00
    @lastczj 确实,我也发现了,同时开启 Local Hosts 和 Local Routing 会有问题。感谢你!
    LGA1150
        21
    LGA1150  
       2015-11-27 20:50:12 +08:00
    inoreader.com 无法访问是因为域名被关键字了
    2001225354
        22
    2001225354  
       2015-11-30 20:11:20 +08:00
    @aries1998 同移动,请问有时候打开一些网站不停跳是为什么呢,请问有办法解决么?还有经常右下角会跳出“欢迎使用移动免费加速客户端”的小窗口,您是否遇到过?
    aries1998
        23
    aries1998  
       2015-12-02 00:43:48 +08:00
    @2001225354 先确定 dns 劫持有没有搞定, chrome 打开 chrome://net-internals/#dns, 清一下 cache, 再开开有问题的网站, 看看解析到的 ip, 如果是劫持的话, 一般都是移动的 ip, 而且网段非常集中, 我这里屏蔽了 2 个 B 类的地址就 ok 了.

    iptables -t mangle -I PREROUTING -p udp --sport 53 -m string --algo bm --hex-string "|78CA|" --from 60 --to 180 -j DROP

    78CA 是这个 B 类地址的 ip 前 4 位
    2001225354
        24
    2001225354  
       2015-12-02 22:24:52 +08:00
    @aries1998 看了半天搜了半天我还是没明白您说的。我是在 win 下用的 pcap_dnsproxy 。目前打开网页已经很顺畅了,没有出现不停刷新,貌似是间歇性的,绝大多少网址第二次打开没问题。不过右下角弹窗还是有,这个是不是 http 劫持的?有个地址:<iframe src="http://211.137.48.177:8482/a/p?adid=216170&amp;tcca=NTEzMDA0MTc1Nw==&amp;urip=117.151.226.233&amp;stpt=37888&amp;edpt=41983&amp;orlu=aHR0cDovL3d3dy5kYWppYW5nemhhbmcuY29tL2Rvd25sb2Fk&amp;aorlu=aHR0cDovLzIxMS4xMzcuNDguMTc3Ojg0ODIvMjE2MTcwLw==&amp;spid=796286812902334&amp;area=0&amp;p1arm=230&amp;p2arm=400&amp;p3arm=5&amp;p4arm=3&amp;p5arm=3&amp;p6arm=1&amp;appd=0&amp;hasCount=1&amp;hasWhiteUser=0&amp;motn=1902260764&amp;saas=134941184&amp;p7arm=1&amp;p8arm=4&amp;psad=3232264217&amp;atid=1&amp;paat=0&amp;aaid=0&amp;isaa=0&amp;envs=0&amp;ckts=1449066259&amp;type=1&amp;teid=65524&amp;acst=1&amp;usgt=TW96aWxsYS81LjAgKFdpbmRvd3MgTlQgMTAuMDsgV09XNjQpIEFwcGxlV2ViS2l0LzUzNy4zNiAoS0hUTUwlMkMgbGlrZSBHZWNrbykgQ2hyb21lLzQyLjAuMjMxMS4xNTIgU2FmYXJpLzUzNy4zNg==&amp;pushFlag=1" style="display:none"></iframe>
    aries1998
        25
    aries1998  
       2015-12-02 22:29:16 +08:00
    @2001225354 http 劫持是另外一个问题, pcap_dnsproxy 解决不了这种问题哦, 要用 adblock 之类的自己加个正则规则就好了.

    我上面说的是 dns 劫持的问题,从你说的间隙性要刷新,还是有 dns 劫持问题, 移动 dns 劫持从我观察来看就是时不时给你污染下, 要么给个打不开的 ip, 要么给个他们缓存的 ip, 反正都是移动的 ip.
    2001225354
        26
    2001225354  
       2015-12-02 22:44:43 +08:00
    @aries1998 谢谢。弹窗应该解决,刚才试了试没再弹出。您上面写的确认污染到的地址如何确认,如何屏蔽能更详细点嘛。谢谢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2801 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 11:45 · PVG 19:45 · LAX 03:45 · JFK 06:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.