V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
tracedocting
V2EX  ›  DNS

求助,疑似成都电信劫持公共 DNS,并且无法解析大量国外.org /.net /.co /.com.xx 等域名

  •  
  •   tracedocting · 2016-07-06 15:59:50 +08:00 · 7118 次点击
    这是一个创建于 3061 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近换了电信 100M 宽带(座标成都),然而近两天突然出现一些[非常用]的网站 DNS 无法解析,特别是国外的网站,根本无法访问,实在是很苦恼。排除墙的原因后(挂 Surge),发现这些都是查询 DNS 无结果。后来换成各个公共 DNS(8.8.8.8 、 114.114.114.114 、 119.29.29.29 、 223.5.5.5)也是同样的情况。

    例如查询某 V 友的小站 com.com.sb (这域名实在好记😂)

    使用四川电信自己的 DNS(61.139.2.69)查询,返回 SERVFAIL ,然后空记录,清空 DNS 缓存后,改为 119.29.29.29 查询,同样的结果。

    http://i.imgur.com/UbIwToU.jpg

    但是用 OpenDNS 的 5353 端口查询,又一切正常……

    http://i.imgur.com/GmbJoEL.jpg

    后来又用 114DNS 提供的 weather114 验证 ISP 是否劫持 114DNS 到自己的 DNS , dig whether.114dns.com @114.114.114.114

    第一次返回 SERVFAIL ,第二次返回 127.0.0.1 (114.114.115.115 同样)

    http://i.imgur.com/lYboTV4.jpg

    似乎是电信劫持了各家公共 DNS ,但是之前只听过移动这么干……要真是这样,他自己的 DNS 好用就算了,关键是各种空包返回 NXDOMAIN ……太难用了。

    但是 trace Google Public DNS 的路由,似乎看起来又没问题啊……

    http://i.imgur.com/xQbQUW0.jpg

    所以电信到底有没有劫持 DNS 到自己的 NDS 呢?

    我用的是 Mac OS X 10.11.5 ,每次查询前都清空了 DNS 缓存,路由器是电信自带的光猫路由器。

    现在这个问题导致很多网站都无法正常访问,实在是很苦恼,所以想请 V2EX 的各位大神帮我看看到底是什么问题?是我自己的设置问题还是电信那边的问题?如果是电信的问题的话,我可以投诉解决吗?那又该怎么做呢?小弟我非 IT 界,可能很多都不太懂,一切都是自己 Google 的,如果有什么不妥还请轻点拍砖。

    非常感谢!!!!

    第 1 条附言  ·  2016-07-06 16:38:00 +08:00
    现在突然又发现能解析 com.com.sb 了,但是问题还是存在……

    例如 thisisinsider.comwww.checkgfw.com 、 bbc.io 、 www.cocomy.net 这些网站还是无法解析,

    我知道这些网站大多被墙,可是这些站没有 DNS 污染吧,至少正常的 DNS 能解析出地址来吧……
    第 2 条附言  ·  2016-07-06 17:09:59 +08:00
    把图附上来,

    使用四川电信自己的 DNS(61.139.2.69)查询,返回 SERVFAIL


    OpenDNS 的 5353 端口查询


    114DNS 提供的 weather114 验证 ISP 是否劫持


    trace Google Public DNS 路由
    第 3 条附言  ·  2016-07-06 17:33:09 +08:00
    真 tm 精彩....现在连 v2ex.com 也解析不到了,要挂梯子,还要 force-remote-dns 才上得来
    第 4 条附言  ·  2016-07-06 23:46:09 +08:00

    https://www.v2ex.com/t/290664#reply39

    @linescape : ping 和 tracert 都是没有意义的,因为只有 53 端口才会被劫持,好用的测试方法是,找个不存在 dns 服务器的 IP >,然后 nslookup 查询 例如: nslookup www.baidu.com 12.34.56.78 如果这也返回了正常的解析结果,则铁定是 dns 劫持无误了

    根据@linescape 的建议,已经确定成都电信对所有53端口的DNS查询进行劫持……

    $ nslookup www.baidu.com 12.34.56.78 
    Server:	12.34.56.78 
    Address:	12.34.56.78#53 
    
    Non-authoritative answer: 
    www.baidu.com	canonical name = www.a.shifen.com. 
    Name:	www.a.shifen.com 
    Address: 180.97.33.107 
    Name:	www.a.shifen.com 
    Address: 180.97.33.108 
    
    57 条回复    2016-07-22 10:28:24 +08:00
    tracedocting
        1
    tracedocting  
    OP
       2016-07-06 16:04:11 +08:00
    为什么图片都自动显示……
    DevineRapier
        2
    DevineRapier  
       2016-07-06 16:05:38 +08:00
    成都电信肉测,你提到的 com.com.sb 直接打开就 ok 了。确认不是代理的问题?
    tracedocting
        3
    tracedocting  
    OP
       2016-07-06 16:07:18 +08:00
    @DevineRapier 关掉代理,清空 DNS 缓存,还原网络设置,还是没办法解析这个域名……
    Oi0Ydz26h9NkGCIz
        4
    Oi0Ydz26h9NkGCIz  
       2016-07-06 16:12:56 +08:00
    感觉不太可能吧。你看下是对所有 53 端口做了劫持,还是只针对某些公共 DNS 的 ip 做了劫持?
    你试下
    77.88.8.8
    42.236.82.22
    64.6.64.6
    这三个不太引人注意的 DNS 会不会出现劫持?
    tracedocting
        5
    tracedocting  
    OP
       2016-07-06 16:17:41 +08:00
    @aruisi

    $ dig www.thisisinsider.com @77.88.8.8

    ; <<>> DiG 9.8.3-P1 <<>> www.thisisinsider.com @77.88.8.8
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 14791
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;www.thisisinsider.com. IN A

    ;; Query time: 1004 msec
    ;; SERVER: 77.88.8.8#53(77.88.8.8)
    ;; WHEN: Wed Jul 6 16:20:27 2016
    ;; MSG SIZE rcvd: 39
    sxdubin
        6
    sxdubin  
       2016-07-06 16:18:02 +08:00
    直接在你路由器后台 ping 试试~用来排除你电脑系统的问题~

    我在深圳用的 win10, 遇到和你类似的情况,后来原来是系统的问题~

    重置网络就好了.
    tracedocting
        7
    tracedocting  
    OP
       2016-07-06 16:18:52 +08:00
    @aruisi 还是 5353 端口查询一切正常
    tracedocting
        8
    tracedocting  
    OP
       2016-07-06 16:21:00 +08:00
    @sxdubin 电信自带的光猫路由器没办法进 ssh 呢,还可以直接 ping 测试吗?
    DreamXWay
        9
    DreamXWay  
       2016-07-06 16:23:53 +08:00
    1. 有条件的话拿一台 windows 笔记本回家试试, 排除个别电脑以及 Mac OS 的问题;
    2. 我特别不信任电信光猫当路由器, 当然这是个无厘头的怀疑...
    Artail
        10
    Artail  
       2016-07-06 16:24:07 +08:00
    = =我能插个楼问下。。如果要用 5353 端口查询 DNS ,那么配置在系统设置里面应该是怎么配置?
    sxdubin
        11
    sxdubin  
       2016-07-06 16:24:09 +08:00
    汗,例如大多数路由器 192.168.1.1 这个后台,一般路由器都提供 ping traceroute 的, TP-link ,飞讯...这些后台都可以的啊~不用 ssh~~~
    sxdubin
        12
    sxdubin  
       2016-07-06 16:25:18 +08:00
    或者用你手机 连你家 wifi 试试~主要是先看能排除你电脑的问题不?
    tracedocting
        13
    tracedocting  
    OP
       2016-07-06 16:25:28 +08:00
    @Artail 我也不知道😂 我是用 dig 命令查询的
    alect
        14
    alect  
       2016-07-06 16:26:48 +08:00
    看了下楼主的 traceroute 记录,第二跳是 100.64 内网 IP ?
    楼主是大内网?没有分配公网 IP 的?
    如果是请打 10000 号要公网 IP 后尝试。虽然可能并没什么卵用
    tracedocting
        15
    tracedocting  
    OP
       2016-07-06 16:27:08 +08:00
    @sxdubin 电信这个自带路由器显然没有这个功能……

    btw ,我刚刚试了下手机,也是同样的问题,例如 thisisinsider.com 这个网站,虽然被墙了,但是我已经把相关规则添加到了 Surge ,访问后提示 dns 无法解析……
    miyuki
        16
    miyuki  
       2016-07-06 16:27:49 +08:00
    格式选 Default 可以直接出图
    tracedocting
        17
    tracedocting  
    OP
       2016-07-06 16:29:28 +08:00
    @alect 是的,电信分的内网 IP 给我,但是内网 IP 会因为 NAT 后影响到 DNS 吗?

    我才装没几天,当时问了安装师傅,师傅说 3 天后打电话给 10000 申请公网 IP ,应该没问题。
    tracedocting
        18
    tracedocting  
    OP
       2016-07-06 16:30:15 +08:00
    @miyuki 原来如此,感谢!!
    默认是 Markdown 编辑器 😂 第一次在 v2 发帖。
    withlqs
        19
    withlqs  
       2016-07-06 16:31:59 +08:00
    成都电信表示秒开+1
    tracedocting
        20
    tracedocting  
    OP
       2016-07-06 16:33:57 +08:00
    @withlqs 我发现我现在也打得开这个网站了,但是其他很多域名还是无法查询
    penjianfeng
        21
    penjianfeng  
       2016-07-06 16:39:00 +08:00
    成都电信这大半年都是,经常 dns 挂掉,我博客其他地方包括我自己打开好好的,结果成都其他地区的 pc 就 dns 错误,我已经无力吐槽了
    kosenpai
        22
    kosenpai  
       2016-07-06 16:43:33 +08:00
    成都电信, 119.29.29.29 ,解析没有问题。不过我是公网 ip 。
    tracedocting
        23
    tracedocting  
    OP
       2016-07-06 16:44:56 +08:00
    @kosenpai 可以试试 cocomy.net 这个域名吗?能正常解析吗?

    难道真是内网 IP 的锅……
    raysonx
        24
    raysonx  
       2016-07-06 16:49:26 +08:00
    楼主开 Wireshark 抓包对比一下 TTL 是否正常。
    怀疑楼主的运营商劫持了 53 端口到自己的服务器,故意劣化质量。
    tracedocting
        25
    tracedocting  
    OP
       2016-07-06 17:06:11 +08:00
    @raysonx

    不会用抓包呢,
    直接 ping 114.114.114.114 , TTL 一直在变动,这是正常的吗?

    kosenpai
        26
    kosenpai  
       2016-07-06 17:10:41 +08:00   ❤️ 1
    @tracedocting

    可以的,没有问题

    ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6 <<>> cocomy.net @119.29.29.29
    ;; global options: +cmd
    ;; Got answer:
    ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61500
    ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0

    ;; QUESTION SECTION:
    ;cocomy.net. IN A

    ;; ANSWER SECTION:
    cocomy.net. 99 IN A 104.25.87.23
    cocomy.net. 99 IN A 104.25.86.23

    ;; Query time: 36 msec
    ;; SERVER: 119.29.29.29#53(119.29.29.29)
    ;; WHEN: Wed Jul 6 17:41:52 2016
    ;; MSG SIZE rcvd: 60
    tracedocting
        27
    tracedocting  
    OP
       2016-07-06 17:11:55 +08:00
    @kosenpai 马上打电话去申请公网 IP ……
    fordoo
        28
    fordoo  
       2016-07-06 17:12:47 +08:00   ❤️ 1
    好像是电信 DNS 服务器的问题

    [root@Anime ~]# nslookup com.com.sb 114.114.114.114
    Server: 114.114.114.114
    Address: 114.114.114.114#53

    Non-authoritative answer:
    Name: com.com.sb
    Address: 162.159.209.10
    Name: com.com.sb
    Address: 162.159.208.10

    [root@Anime ~]# nslookup com.com.sb 61.139.2.69
    Server: 61.139.2.69
    Address: 61.139.2.69#53

    ** server can't find com.com.sb: SERVFAIL

    [root@Anime ~]# nslookup com.com.sb 119.29.29.29
    Server: 119.29.29.29
    Address: 119.29.29.29#53

    Non-authoritative answer:
    Name: com.com.sb
    Address: 162.159.208.10
    Name: com.com.sb
    Address: 162.159.209.10
    tracedocting
        29
    tracedocting  
    OP
       2016-07-06 17:15:27 +08:00
    @fordoo 感谢,

    看来真的是电信劫持了 53 端口的所有 DNS 请求到自己的 DNS ,偏偏自己的 DNS 又烂得不行……
    kosenpai
        30
    kosenpai  
       2016-07-06 17:18:08 +08:00
    @fordoo 61.139.2.69 解析国外域名很早以前就变成这个鬼样子了。基本没法用。
    hard2reg
        31
    hard2reg  
       2016-07-06 17:21:24 +08:00
    感谢楼主让我知道了一个有趣的网站~~
    tracedocting
        32
    tracedocting  
    OP
       2016-07-06 17:52:02 +08:00
    @hard2reg

    哈哈哈,哪个网站啊?
    suliuyes
        33
    suliuyes  
       2016-07-06 17:56:10 +08:00
    有时候好有时候坏。完美解决方案是啥?
    dili
        34
    dili  
       2016-07-06 18:28:46 +08:00
    withlqs
        35
    withlqs  
       2016-07-06 19:47:37 +08:00
    后来提供的那几个网站,除了 bbc.io 之外都可以解析。

    然后 bbc.io 挂上代理也不能解析出来。

    ping.chinaz.comipip.net 的海外节点也解析不出来。

    所以是不是 bbc.io 这个域名本身没做 DNS 解析?
    hard2reg
        36
    hard2reg  
       2016-07-06 21:45:02 +08:00
    zealic
        37
    zealic  
       2016-07-06 21:57:41 +08:00
    61.139.2.69 一直都抽,最扯淡的是解析 .tv 域名有问题,早就弃用了
    tracedocting
        38
    tracedocting  
    OP
       2016-07-06 22:09:49 +08:00
    @zealic 现在麻烦的是想用其他 DNS 也用不了……
    linescape
        39
    linescape  
       2016-07-06 22:26:17 +08:00   ❤️ 1
    ping 和 tracert 都是没有意义的,因为只有 53 端口才会被劫持,好用的测试方法是,找个不存在 dns 服务器的 IP ,然后 nslookup 查询
    例如: nslookup www.baidu.com 12.34.56.78 如果这也返回了正常的解析结果,则铁定是 dns 劫持无误了
    tracedocting
        40
    tracedocting  
    OP
       2016-07-06 23:18:27 +08:00
    @linescape

    $ nslookup www.baidu.com 12.34.56.78
    Server: 12.34.56.78
    Address: 12.34.56.78#53

    Non-authoritative answer:
    www.baidu.com canonical name = www.a.shifen.com.
    Name: www.a.shifen.com
    Address: 180.97.33.107
    Name: www.a.shifen.com
    Address: 180.97.33.108

    嗯,真的中招了,请问有解决办法吗?投诉电信,让他们把我添加到白名单?还是申请公网 IP ,听其他有公网 ip 同是成都电信的 v 友反应,他们的 dns 正常……
    bclerdx
        41
    bclerdx  
       2016-07-06 23:35:48 +08:00
    记号~
    mind3x
        42
    mind3x  
       2016-07-07 00:18:09 +08:00
    @tracedocting 成都电信去年下半年开始就一直这样了
    mrjoel
        43
    mrjoel  
       2016-07-07 00:59:48 +08:00
    正在 Ping whether.114dns.com [127.0.0.1] 具有 32 字节的数据:
    来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128
    来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128
    来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128
    来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128


    同成都电信。同被劫持。。每次优酷客户端关闭了 还在桌面右下角弹个广告(我不相信优酷会差这点广告位)。
    wisdom
        44
    wisdom  
       2016-07-07 01:03:57 +08:00   ❤️ 1
    成都电信经过我的努力正在调整推送系统,他们的推送系统是没有白名单的,等升级吧
    mrjoel
        45
    mrjoel  
       2016-07-07 01:06:25 +08:00
    @linescape 我乱填了两个个 DNS 正常访问百度。。。。。唉。。。全局劫持,恐怕也只有成都电信了。
    AirSc
        46
    AirSc  
       2016-07-07 01:07:10 +08:00 via Android
    之前在成都的时候就一直这个样子了
    linescape
        47
    linescape  
       2016-07-07 09:45:45 +08:00
    @tracedocting 先找客服后举报,技术解决就只能装 dnsecrypt 这样的东西了,不过这东西也坑,慢而且国内网站全部解析在墙外
    martinicarey
        48
    martinicarey  
       2016-07-07 10:30:17 +08:00
    成都电信,公网 IP ,无此问题。可自行设置 DNS ,解析正常。
    乱填 DNS 无法访问百度。建议楼主申请公网 IP 。
    61.139.2.69 经常解析出问题, 218.6.200.139 还勉强能用。为了 CDN 忍了。 Mac 设置 Resolver 手动判断个别网站的解析……
    Ellison
        49
    Ellison  
       2016-07-07 11:12:33 +08:00
    我成都一朋友也是,各种无法解析
    tracedocting
        50
    tracedocting  
    OP
       2016-07-07 11:50:19 +08:00
    @martinicarey 刚刚申请了公网 IP ,还是无解……依然存在劫持,我之前都以为只有移动才这么干!真是不要脸!
    sfree2005
        51
    sfree2005  
       2016-07-07 15:05:01 +08:00
    如果自己有 vps ,自己架设 DNS 之后设置端口为非默认端口,难度应该和自己玩 ss 差不多。 教程应该不难找,记得鸟哥 linux 教程不错
    sfree2005
        52
    sfree2005  
       2016-07-07 15:18:51 +08:00
    最后想了想 刚刚提到的方法 应该行不通,因为我好像看不到怎么在客户端改 DNS 端口
    tracedocting
        53
    tracedocting  
    OP
       2016-07-07 20:48:25 +08:00   ❤️ 1
    @sfree2005 可以在路由器上利用 dnsmasq 实现,或者 pdnsd 也可以。 而且不用自建 dns , OpenDNS 的 5353 就应该够了……而且可以实现特定网站用 OpenDNS 查询,还可以防 DNS 污染。

    Mac 上可以用 resolver(5) , 参见 https://www.v2ex.com/t/135910
    tracedocting
        54
    tracedocting  
    OP
       2016-07-07 20:51:04 +08:00
    @martinicarey 感谢!申请公网 IP 后几小时劫持消失!
    martinicarey
        55
    martinicarey  
       2016-07-07 22:37:20 +08:00
    @tracedocting 不谢!看来是公网 IP 的问题。
    iBright
        56
    iBright  
       2016-07-21 09:58:11 +08:00
    ; <<>> DiG 9.8.3-P1 <<>> @61.139.2.69 +trace qq.com
    ; (1 server found)
    ;; global options: +cmd
    . 514985 IN NS j.root-servers.net.
    . 514985 IN NS k.root-servers.net.
    . 514985 IN NS l.root-servers.net.
    . 514985 IN NS m.root-servers.net.
    . 514985 IN NS root1.sc163.net.
    . 514985 IN NS root2.sc163.net.
    . 514985 IN NS a.root-servers.net.
    . 514985 IN NS b.root-servers.net.
    . 514985 IN NS c.root-servers.net.
    . 514985 IN NS d.root-servers.net.
    . 514985 IN NS e.root-servers.net.
    . 514985 IN NS g.root-servers.net.
    . 514985 IN NS h.root-servers.net.
    . 514985 IN NS i.root-servers.net.
    ;; Received 509 bytes from 61.139.2.69#53(61.139.2.69) in 38 ms

    com. 172800 IN NS a.gtld-servers.net.
    com. 172800 IN NS d.gtld-servers.net.
    com. 172800 IN NS b.gtld-servers.net.
    com. 172800 IN NS g.gtld-servers.net.
    com. 172800 IN NS k.gtld-servers.net.
    com. 172800 IN NS c.gtld-servers.net.
    com. 172800 IN NS h.gtld-servers.net.
    com. 172800 IN NS e.gtld-servers.net.
    com. 172800 IN NS l.gtld-servers.net.
    com. 172800 IN NS i.gtld-servers.net.
    com. 172800 IN NS f.gtld-servers.net.
    com. 172800 IN NS j.gtld-servers.net.
    com. 172800 IN NS m.gtld-servers.net.
    ;; Received 512 bytes from 192.36.148.17#53(192.36.148.17) in 185 ms

    qq.com. 172800 IN NS ns1.qq.com.
    qq.com. 172800 IN NS ns2.qq.com.
    qq.com. 172800 IN NS ns3.qq.com.
    qq.com. 172800 IN NS ns4.qq.com.
    ;; Received 256 bytes from 192.26.92.30#53(192.26.92.30) in 115 ms

    qq.com. 600 IN A 125.39.240.113
    qq.com. 600 IN A 61.135.157.156
    qq.com. 86400 IN NS ns3.qq.com.
    qq.com. 86400 IN NS ns4.qq.com.
    qq.com. 86400 IN NS ns1.qq.com.
    qq.com. 86400 IN NS ns2.qq.com.
    ;; Received 128 bytes from 182.140.167.157#53(182.140.167.157) in 5 ms



    为什么会有这两个呢?
    . 514985 IN NS root1.sc163.net.
    . 514985 IN NS root2.sc163.net.
    JesseLexin
        57
    JesseLexin  
       2016-07-22 10:28:24 +08:00
    @tracedocting 凡是 100.64.*.* 都是做了手脚的,遇到这种问题,请直接给工信部或者省一级的通管局写书面申述材料(语言要简练因为它网站限制了字数的,也不必附加这些技术证据),该方法全国 3 大运营商都适用,请大家相互转告。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2877 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 11:21 · PVG 19:21 · LAX 03:21 · JFK 06:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.