1
brick713 2018-08-23 11:03:26 +08:00
北京电信的 DNS 污染已经极其严重了
|
2
passerbytiny 2018-08-23 11:12:49 +08:00
用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。
用户自主修改的,它不通知用户然后给拦截了,这种要吃官司的话,他也敢写进去。 |
3
R18 2018-08-23 11:16:03 +08:00 8
像这种公开技术的公司不多了,这种行为值得鼓励
|
4
raysonx 2018-08-23 11:18:19 +08:00 via Android
DNS 污染说得这么高大上。什么时候 DNSsec 能普及啊。
|
5
LuvF 2018-08-23 11:18:25 +08:00 via Android
走 tcp 可解吗
|
6
orangeade 2018-08-23 11:18:30 +08:00
|
8
Marmot 2018-08-23 11:21:12 +08:00 3
为什么要用别的 dns,他们心里真的一点逼数都没有么?
|
9
xxxxxxdp 2018-08-23 11:24:03 +08:00
isp 的递归服务器再引入 dnssec 机制,对权威做数据源认证就更加完美了。
|
11
ranoff 2018-08-23 11:36:37 +08:00
这骚操作,一点碧莲都不要了
|
14
meteor 2018-08-23 11:40:42 +08:00
移动宽带不敢用了。解析到自己的 IP 地址,然后速度可能还很慢。
|
15
taobibi OP @passerbytiny 路由牵引和 PBR 策略路由 比抢答厉害
|
16
leafleave 2018-08-23 11:41:55 +08:00 via iPhone
目前这种环境,只能在家里面放一个树莓派做 dns 服务器了。不过手机数据流量还是没有办法。
|
17
fantasylidong 2018-08-23 11:50:42 +08:00 via Android
@leafleave 好像安卓 9.0 支持了私人 dns
|
18
mrw77 2018-08-23 11:53:51 +08:00
太好了,越来越喜欢移动了
|
19
ryd994 2018-08-23 11:53:51 +08:00 via Android
非原作者请勿全文转载
|
20
silencefent 2018-08-23 11:54:12 +08:00 2
关于如何抢劫你的三种方法已经申请专利了,你就好好躺好不要乱动,乱动违法
|
21
leafleave 2018-08-23 11:56:22 +08:00 via iPhone
@fantasylidong 唉,。iOS 没办法
|
23
zealot0630 2018-08-23 12:14:25 +08:00
@raysonx dnssec 已经凉了,报文大小限制,根用的 512 位 RSA,分分钟破解掉
|
24
JohnChu 2018-08-23 12:18:26 +08:00 via Android
怎么反制
|
25
nodin 2018-08-23 12:18:44 +08:00 via Android
第二百八十六条 [破坏计算机信息系统罪] 违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。 不知道集体诉讼在中国是否有可行性。 |
26
pisser 2018-08-23 12:57:55 +08:00
哈哈,差不多达到突出成就这个级别了。
|
27
whileFalse 2018-08-23 13:10:10 +08:00
技术是好技术,既让无所谓的移动用户访问无所谓的网站更快,又促使有所谓的用户挑选合适的宽带提供商。
还促进了 DNS 这个本来就有安全缺陷的服务赶紧迭代。 |
28
ccc008 2018-08-23 13:16:00 +08:00 6
@nodin 这条法律难道不是针对屁民的。比如最不利的情况下,我们用了自有 dns,移动可以告我们破坏了他的 dns 计算机信息系统 233
|
29
iceheart 2018-08-23 13:18:46 +08:00 via Android
人不要脸,天下无敌
|
31
zhangpeter 2018-08-23 13:42:49 +08:00
@silencefent 我去修改一下 DNS,你就在此地不要走动
|
32
Liqianyu 2018-08-23 13:42:52 +08:00 3
1.有国情原因,移动劫持最严重。但主要是因为初期互联互通问题所导致,也不能说移动想这样做。
2.usenix 论坛说了,移动劫持是最多的,但是美国运营商一样有劫持,论文详见 https://www.usenix.org/system/files/conference/usenixsecurity18/sec18-liu_0.pdf 3.劫持肯定是不对的。但是用户 DNS 不是 ISP DNS,造成网速慢,然后投诉,然后你说运营商能怎么办? DNS 返回的结果不适合移动访问,这个时候用户又不用移动 DNS,咋办?很多地区的移动已经越来越好,初期发展的很多问题都吃了发展晚的亏。 |
33
leido 2018-08-23 13:44:56 +08:00 via Android
话说回来,谷歌和 114 的移动递归节点确实少,dnspod 和阿里好得多
|
34
jandan 2018-08-23 13:45:08 +08:00
还有单独的墙 头疼
|
35
Liqianyu 2018-08-23 13:48:12 +08:00 1
三套方法
1.路由牵引其实就是路由劫持。参考 Ping 8.8.8.8 只有个位数延迟的地区 2.这套方法就是纯抢答 53 端口的 UDP 返回,但是和 GFW 污染一样,很容易发现。但是是旁路方式,故障率低。 3.这套方法隐蔽程度更高,但是是串联方式。不知道什么地区采用了,根据文中的方法可能采用的很少吧。文中最推荐的还是 2 另外,目前北京移动都是正常 NAP 交换+公网 IP +没发现 DNS 抢答。 希望大家能在骂的基础上理性讨论。 |
36
winterbells 2018-08-23 13:53:10 +08:00 via Android
破坏计算机信息系统罪
之前越过防火墙算,现在越过 DNS 算不算呢 |
37
Love4Taylor 2018-08-23 13:59:37 +08:00 via Android
目前使用 EDNS, 完美避免污染.
|
38
passerbytiny 2018-08-23 14:17:10 +08:00
@Liqianyu 纯粹胡扯。
1.3 章:“逐个通知客户变更 DNS 是一项棘手而低效的工作,迫切需要有一种技术手段,能将流向异网 DNS 的请求重新引导回 ISP 官方 DNS,实现异网 DNS 请求的网内解析,达到如下的管控目标: 对异网 DNS (不可信 DNS )的解析请求返回 ISP 官方 DNS 的最佳解析结果,实现 DNS 请求 100%可管控; 所有操作和处理过程均在用户无感知和不影响使用的情况下完成;” 老子嫌通知并说服客户“用移动的 DNS 网速更快”太麻烦(然而实际上只需要在宽带合同上说明就够了),并且想要 100%控制 DNS (然而 DNS 是 ISP 的责任而不是权力),所以偷偷的把客户的 DNS 拦截了:这跟强盗有啥区别 |
39
lvxing 2018-08-23 14:19:11 +08:00
此专利违法,请参考去年颁布的《网络安全法》第二十二条。
|
40
Liqianyu 2018-08-23 14:33:43 +08:00
@passerbytiny
我没有说是对的,只是从移动的角度来思考。 看一件事要有辩证思维,要从对方的角度去思考。 1.文章里面已经说的很清楚,有些设备的 DNS 改不了。或者说一般人不会改。 2.通知客户变更,客户就一定会操作了?你以为个个都懂电脑? 3.如果说叫一线运维去改,人家能上网的情况下,会叫你进来给我改个 DNS ?你觉得客户个个都那么好说话? 4.很多一线运维也不会配置 DNS,一个一个培训...你觉得能有多大用。而且即使安装的时候改了。也有很多情况下用户自己又改了。 我不是说移动这样做是对的,但这是环境+客观因素所导致的。看一件事不能从片面的角度看。 移动真正要做的事互联互通,以及 EDNS 的普及。 |
41
redsonic 2018-08-23 14:36:13 +08:00
一看就是设备商或施工方写的稿子,交给利益相关方换糖吃的,你看原文里面就有提到信封。 其实谷沟学术可搜到很多由专利代理公司专业写手给运营商的稿子,可以发现不少有趣的东西。
@raysonx 外国同行已在讨论让 DNS over TLS 取代 dnssec。不管技术怎样,好像没有大型商业公司牵头的方案最后都要歇菜。不过 DOT 出发点是给解析器提供保密性和完整性的,而 DNSSEC 是给迭代器递归链提供了完整性,说让谁取代谁好像也不合适。 |
42
terrytw 2018-08-23 14:51:56 +08:00
大家有没有注意到有意思的一点?
2014 年 4 月起联合南京信风公司在江苏无锡城域网进行了试点测试,借助无锡城域网两台核心设备上行链路中已经部署过的 DPI 系统,提取出 53 端口的 DNS 流量,复制给 DNS 重定向系统。 大家知道不,114DNS 就是南京信风公司出的,哈哈哈 “部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS ” 所以我们和 114DNS 厂家合作,对用户进行强奸 |
43
brick713 2018-08-23 14:54:25 +08:00
@taobibi #12 嗯技术上可能不同,结果是相同的,我在电脑上配置手动的 dns 不论是什么,都会被污染,明显是阶级防火墙联合运营商搞了一套组合拳
|
45
xz410236056 2018-08-23 15:05:32 +08:00
申请专利??你猜是什么人污染的??
|
47
janus77 2018-08-23 15:47:02 +08:00
@ccc008 #27 我倒是觉得可行,注意条文写的是「造成系统不能正常运行」。如果移动强制修改了我的 dns,导致我访问某些网站不能正常访问或者速度慢,那就是移动的问题;但是我修改自己电脑的 dns,并没有影响到移动服务其他用户。
|
48
janus77 2018-08-23 15:52:25 +08:00 1
@Liqianyu #31 当然是根据具体原因来:如果我是主动修改的 dns,那出现任何问题就跟他没关系。知道主动修改的后果的用户,不会去不讲理的投诉;小部分不讲理的用户投诉,也错不在 ISP,应该不怕告才对。
反过来再想,如果我主动且知情的修改了 dns,他的强制修改又导致我访问变慢,这我该不该投诉他? |
49
chenshaoju 2018-08-23 17:26:05 +08:00 1
实际上还是带宽惹得祸,移动不光有 DNS 劫持,还有 HTTP 劫持。
在不考虑广告劫持的大部分情况下,其实是移动到电信和联通的接口带宽比较紧张,网间结算费用也高,而电信联通又不愿意出售更多带宽给移动。 结果就是移动不得不靠 DNS/HTTP 劫持导向到自己搭建的 Cache 上,这些乱七八糟的研究就是这么来的。 https://twitter.com/chenshaoju/status/699499245015953408 |
50
Shura 2018-08-23 17:32:52 +08:00
实测下来,合肥移动目前对 114 和谷歌 dns 的查询请求确实进行了挟持,但是用腾讯的 119dns 和其他小众 dns 没事,而且暂时也没发现过 HTTP 挟持,就是不知道能维持多久了。
|
51
shiina 2018-08-23 18:08:15 +08:00
山东移动常年被劫持,前天 dns 好了一天(没劫持国内几个公共 dns ),然后果然是错觉,现在又劫持上了,一解析全是 127.0.0.1
|
52
shiny 2018-08-23 18:09:50 +08:00
屁股决定脑袋
|
53
lslqtz 2018-08-24 02:51:17 +08:00
@zealot0630 难道不能用 ECC。。
|
54
biglee0304 2018-08-29 19:27:52 +08:00
我 tm 震惊了,dns 劫持这个词现在运营商自己也能坦然地拿出来吹嘘了?下面这段写的真好笑:
用户自主修改 DNS:第三方公众 DNS 借助网络广泛宣传,部分用户盲目迷信网上教程,手工修改路由器或本机的 DNS 配置为谷歌 DNS 8.8.8.8、114 DNS 等公众 DNS,造成内容资源访问时“舍近求远”,难以实现本网已引入资源的精准调度。 ● 用户被动修改 DNS:部分互联网公司借助终端软件积极推行自己的 DNS,用户在不知情的情况下,DNS 被一些声称能优化网络和修复网络的软件所修改,如 360 DNS 优选、腾讯 DNS 优选等。 |
55
techon 2018-09-01 04:16:54 +08:00
|
56
yy77 2018-09-04 10:56:37 +08:00
主要还是 DNS 这个协议实在太老了,而且太过简单,漏洞太多。等 DNS over TLS/http 应用广泛了,这些就会失效了。总不能连一般的 http 流量也都劫持掉吧。
|