V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
suspended
V2EX  ›  DNS

DNS TCP 查询也被污染了??

  •  
  •   suspended · 2020-02-25 20:35:56 +08:00 · 7481 次点击
    这是一个创建于 1493 天前的主题,其中的信息可能已经有所发展或是发生改变。

    白天都还没有污染,晚上发现已经污染了!! 网络:广东联通宽带。

    求证其他地区的情况。

    bogon: ~ ]
    user$ dig +tcp @8.8.4.4 abc.facebook.com
    
    ; <<>> DiG 9.8.3-P1 <<>> +tcp @8.8.4.4 abc.facebook.com
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 42184
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
    
    ;; QUESTION SECTION:
    ;abc.facebook.com.		IN	A
    
    ;; ANSWER SECTION:
    abc.facebook.com.	249	IN	A	173.252.102.16
    
    ;; Query time: 77 msec
    ;; SERVER: 8.8.4.4#53(8.8.4.4)
    ;; WHEN: Tue Feb 25 20:21:14 2020
    ;; MSG SIZE  rcvd: 50
    
    bogon: ~ ]
    user$ dig +tcp @8.8.4.4 xxx.abc.facebook.com
    
    ; <<>> DiG 9.8.3-P1 <<>> +tcp @8.8.4.4 xxx.abc.facebook.com
    ; (1 server found)
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 13805
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
    
    ;; QUESTION SECTION:
    ;xxx.abc.facebook.com.		IN	A
    
    ;; ANSWER SECTION:
    xxx.abc.facebook.com.	242	IN	A	31.13.64.1
    
    ;; Query time: 76 msec
    ;; SERVER: 8.8.4.4#53(8.8.4.4)
    ;; WHEN: Tue Feb 25 20:21:18 2020
    ;; MSG SIZE  rcvd: 54
    
    18 条回复    2020-03-12 09:28:58 +08:00
    mason961125
        1
    mason961125  
       2020-02-25 20:41:08 +08:00
    致远星
    liuxyon
        2
    liuxyon  
       2020-02-25 20:47:12 +08:00
    你看看你的路由
    suspended
        3
    suspended  
    OP
       2020-02-25 20:50:23 +08:00
    @liuxyon 看不到路由,协议被联通掐了。- -b
    love
        4
    love  
       2020-02-25 20:52:03 +08:00
    为啥我这里
    dig +tcp @8.8.4.4 www.facebook.com
    ;; communications error to 8.8.4.4#53: connection reset

    dig 百度没被 reset
    suspended
        5
    suspended  
    OP
       2020-02-25 20:59:37 +08:00
    @love 看来党国确实打算干掉 DNS over TCP 了,惨惨惨
    txydhr
        6
    txydhr  
       2020-02-25 21:07:24 +08:00 via iPhone
    楼主火星了 很久之前就这样了
    reus
        7
    reus  
       2020-02-25 21:09:28 +08:00
    又不是端对端加密的,不奇怪
    suspended
        8
    suspended  
    OP
       2020-02-25 21:14:47 +08:00
    @txydhr 好吧,确实火星了。。。
    yankebupt
        9
    yankebupt  
       2020-02-25 22:04:57 +08:00
    北京聯通確認。
    好像確實是新加的。因爲記得原來 tcp 查股溝沒問題的。
    另外可能 dns 包太小了,旁路阻斷可能爲了防止自己成爲被 D 目標,多次重複打 dig +tcp 命令後會擊穿雙向 reset,直接返回結果……
    不知道拿什麼設備做的
    leido
        10
    leido  
       2020-02-25 22:11:00 +08:00 via Android
    出境 tcp 都不可信
    geekvcn
        11
    geekvcn  
       2020-02-25 22:43:16 +08:00
    53 5353 端口 TCP 直接 rest,opendns 443 端口可以但是随机阻断
    geekvcn
        12
    geekvcn  
       2020-02-25 22:46:07 +08:00
    记错了 53 tcp 直接 connection reset 5353 和 443 间歇阻断
    Tink
        13
    Tink  
       2020-02-25 23:09:18 +08:00 via iPhone
    ss-tunnel
    yankebupt
        14
    yankebupt  
       2020-02-25 23:13:37 +08:00
    有點氣,直接兩頭加了 dns 端口 reset flag drop...
    tunnel 過兩天有時間再搞
    SuperFashi
        15
    SuperFashi  
       2020-02-25 23:34:32 +08:00 via Android
    火星了。要用的话还是 tcp-tls 或者 over https 吧
    HaoranLi
        16
    HaoranLi  
       2020-02-26 10:44:32 +08:00
    smartdns+DOT 香的不行,没出过什么问题
    liuxyon
        17
    liuxyon  
       2020-02-27 17:51:11 +08:00
    @suspended #3 所以你应该明白实际中断到目的地的路由,然后拦截询问回答假的
    youtoshell
        18
    youtoshell  
       2020-03-12 09:28:58 +08:00
    DNS 服务器 加入黑名单 走代理。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1370 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 17:39 · PVG 01:39 · LAX 10:39 · JFK 13:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.