[分享+测试]小技巧：快速解决DNS污染、挟持
下午在google
reader上看到某童鞋关于教育网出国的文章，其中有提到解决DNS污染的小方法。自己实际测试了下，感觉效果还行
，因此作以记录分享。
什么是DNS污染、挟持？
域名服务器缓存污染（DNS cache poisoning），又名域名服务器快取侵害（DNS cache
pollution），是指一些刻意制造或无意中制造出来的域名服务器，
把域名指往不正确的IP地址。一般来说，外间在互联网上一般都有可信赖的域名服务器，但为减免网络上的交通，一般的域名都会把外间的域名服务器数据暂存起
来，待下次有其他机器要求解析域名时，可以立即提供服务。一但有关网域的局域域名服务器的缓存受到污染，就会把网域内的电脑导引往错误的服务器或服务器的网址。
域名服务器缓存污染可能是通过域名服务器软件上的设计错误而产生，但亦可能由别有用心者通过研究开放架构的域名服务器系统来利用当中的漏洞。【来源】
   
再简单的解释就是：通过某些手段取得某一服务提供商的DNS解析控制权，进而修改相应的域名记录值，使用该服务提供商DNS的用户在访问该域名时，并不会通过轮循的机制查询到域名真实的IP，而是会访问服务提供商DNS里面的记录值。
如何DNS污染、挟持？
1、修改hosts：通过未污染的DNS服务器查询到正确的目标服务器IP，然后通过修改本地hosts来对抗，hosts文件位于C:\WINDOWS\system32\drivers\etc目录下，通过大家所说的IPV6穿墙就是通过修改hosts实现的。
2、利用本地DNS代理：这就是文章前面所提到解决DNS污染的小方法。pydnsproxy是用python编写的小程序，通过了简单的方法实现了对抗DNS缓存污染。具体实现方法好像是通过openvpn连接远程DNS解析服务器。具体使用方法：
下载pydnsproxy，安装在你喜欢的位置。（注：Windows Vista/7
的用户请使用管理员模式安装），通过
将宽带连接（或者其他你喜爱的名字的连接）的dns服务器设置为127.0.0.1
一切OK，Enjoy it!
   
现在测试一下结果，进入CMD命令。输入ipconfig /flushdns来刷新DNS缓存；接下来输入nslookup 来查询所对应的IP。下图我们可以看见结果：
   
打开你的浏览器输入，你看到了什么？
   
此程序会一直在电脑中运行，不会占用太多的电脑资源，如果你不需要的话，那么进行控制面版――管理工具――服务――停用DNSproxy即可。
   
事实上关于还有许多东西要解决，这是此项目的主页地址：
关于解决DNS污染、挟持还有一些其它方法，我这里暂时还没写完，随后可能还会进行更新，解释。
解决DNS污染、挟持有什么用？
   
明确的说，这只是对抗
GFW的一部分并不能完全对抗长城。解决DNS污染、挟持的方法作用就是得到真实的域名解析IP。例如前几周饭否回归地前期，也就是
可以打开的时候，国内好多人都是通过修改hosts访问，原因就是DNS服务器刷新缓存需要2-24小时，而中国没有根DNS服务器，相对较慢。如果采用
国外的DNS代理，则可以更快得到真实IP。
转者测试：
   
（1）下载了pydnsproxy，解压，安装。
    
此后，系统服务项多了dnsproxy这项，如下：
   
但实话说，忽略gfw缓存污染之后，我并不知道如何去验证效果。
   
莫啥感觉，该打不开的还是打不开，打得开的还是能打开。也许是我没选好测试用例吧，或本时也没啥这类需求。 菜鸟飘过=。=
   
（2）设置dns为本地地址：127.0.0.1。指把首选dns服务器设置成自己的主机；当然我们的主机不是dns服务器，首先
   
（3）刷掉主机的dns缓存：ipconfig /flusdns；
   
（4）查询facebook的IP：；第一次查询查询dns(127.0.0.1；必然没相应的项)，这个答案是权威的。之后在本地DNS缓存里查找相应的项，找到的IP地址。但我还是不太明白，为啥我的DNS缓存里有的IP地址？还有其他域名相关的IP地址。起初我还以为是dnsproxy的作用，但我禁用后，发现结果还是一样。求大牛解答&&
   
（5）尝试通过IP地址上facebook网页
   
我发现，通过第一个地址（即上面原贴内容测试的地址），在我这边是上不去facebook的。
   
通过第二个地址，成功。
   
但无法登陆=。=
   
说我浏览器不支持cookies，但我觉得应该不是这个原因。之后试了试，开了fg705p，能登陆fb的。
   
但我不清楚为什么会出现这个问题？再求大牛解答。
   
后来我还查了twitter的IP，但发现这三个地址都不给力= =
   
为了更好地进行比较，我恢复dns服务器设置，再试试nslookup
facebook的IP。自然地，是找不到相应的信息的。这可能就是传说中的gfw制造的dns污染（我猜测=。=）
   
查是明显可以的。
  
   
如果只求安心在天朝内上网，感觉这个技巧也没啥太大用途，除非你真遇到某些恶意事件（呃，准确来说应该是服务提供商被攻击？！）或说困惑（突然上不了一些想上的网站，都转到其他网页了？！）。
   
而gfw造成的dns污染，对于我们普通淫，这是一种常态而非一种异常。
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。程序有很多，你做论坛可以选择DZ，博客...
谈到东莞，我想很多人对2013东莞扫黄记...
香港idc机房有香港新世界机房...
天气转凉，但小编为广大网友排忧解难...
经常有人问网通服务器托管和联通服务...
welcome to nginx!字面解释欢迎Nginx...有什么方法可以绕过dns污染吗？
有什么方法可以绕过dns污染
1、使用dnsmasq搭建自己的dns服务器
2、或者通过搜索，找到可用的dns，比如用这个http://www.oschina.net/code/snippet_09
主要的原理还是通过网络上公共的dns查找对应的IP，能ping通就是可用的
欢迎加入THINKPHP社区，群号码：查看: 2911|回复: 57
小宝请进 我想提供一种简便的dns污染解决方案
主题帖子积分
初级魔法师, 积分 117, 距离下一级还需 83 积分
你好 我想提供一种简便的dns污染解决方案，就是使用dnsmasq的all server功能 同时向多个dns地址放出请求，然后用iptables把国内dns返回的污染ip过滤，这样既可以保证CDN，又可以获取到正确的ip地址。要是能在设置页面提供国内dns和国外dns设置，然后再选择是否用SS的UDP转发查询国外dns就好了，毕竟默认使用opendns解析出国内网站ip一般无CDN效果。
主题帖子积分
魔力币1583
本帖最后由 sadoneli 于
00:14 编辑
这个方法我有考虑过的，all server并发查询之前也用过
但是后头的iptables过滤污染ip，效果就不好了
放在以前还好，gfw是固定污染列表的，过滤掉那些就好了
今年初gfw就升级了污染库，几千个污染ip，而iptables好像一条只能过滤32条？那么就得加几百条iptables了，效率就是个大问题了
而且，而且现在gfw更厉害了，已经随机投毒了，返回的ip地址是随机的，用污染列表根本不行
之前就有报道访问youtube的ip被解析到德国的一个工口网站
所以这个方法现在不可行了啊！
考虑过chinadns来弄，因为china能识别gfw对dns污染的一个bug，但是实测效果仍然不是很好！
也想过用国内网站白名单来做，但是9000多个国内网站，ipset来做的话还是太多了！
所以，目前暂时没有更好的方案~
用gfwlist模式吧，对国内是最友好的了~
主题帖子积分
中级魔法师, 积分 375, 距离下一级还需 125 积分
这个方法我有考虑过的，all server并发查询之前也用过
但是后头的iptables过滤污染ip，效果就不好了
虽然不懂 但我永远支持！
主题帖子积分
中级魔法师, 积分 457, 距离下一级还需 43 积分
现在fake ip的数量太多了 而且其中还有这是有网站的
主题帖子积分
初级魔法师, 积分 117, 距离下一级还需 83 积分
这个方法我有考虑过的，all server并发查询之前也用过
但是后头的iptables过滤污染ip，效果就不好了
chinadns用的那个bug指的是压缩指针吗 我感觉chinadns效率有点低
主题帖子积分
初级魔法师, 积分 117, 距离下一级还需 83 积分
这个方法我有考虑过的，all server并发查询之前也用过
但是后头的iptables过滤污染ip，效果就不好了
为什么我用all server没有遇到解析到其他网站的问题，用了刚好50条iptables命令
主题帖子积分
魔力币1583
为什么我用all server没有遇到解析到其他网站的问题，用了刚好50条iptables命令
gfw污染ip有个投毒池吧，你的方法即使管用，但也不是长久之计，如果这个池一变，就会大片失效，我做为ss固件初衷是首先实现翻wall功能，而且保证稳定。如果用iptables就不是长久之计，因为我个人和小宝也没有精力去维护这些
目前为了兼容速度和翻wall效率，故而提供了四种模式，需要国内CDN，请用gfwlist模式即可，而且我认为gfwlist模式已经适用95%的人群了吧
主题帖子积分
初级魔法师, 积分 117, 距离下一级还需 83 积分
gfw污染ip有个投毒池吧，你的方法即使管用，但也不是长久之计，如果这个池一变，就会大片失效，我做为ss ...
好像固件中有集成chinadns，可否提供chinadns、ss中dns的udp转发的手工设置？
主题帖子积分
魔力币1583
好像固件中有集成chinadns，可否提供chinadns、ss中dns的udp转发的手工设置？
目前提供了ss-tunnel和dnscrypt-proxy吧，尚无时间和精力去增加
因为个人实测chinadns表现实在糟糕，也比较抵触这个软件了
主题帖子积分
高级魔法师, 积分 621, 距离下一级还需 379 积分
目前提供了ss-tunnel和dnscrypt-proxy吧，尚无时间和精力去增加
因为个人实测chinadns表现实在糟糕， ...
那个dnsmasq去掉#，min-cache-ttl=86400，然后自动还原#min-cache-ttl=86400。。。这是怎么了？
主题帖子积分
初级魔法师, 积分 117, 距离下一级还需 83 积分
sadoneli 发表于
目前提供了ss-tunnel和dnscrypt-proxy吧，尚无时间和精力去增加
因为个人实测chinadns表现实在糟糕， ...
可否提供ss-tunnel的国外dns地址设置
主题帖子积分
魔力币1583
那个dnsmasq去掉#，min-cache-ttl=86400，然后自动还原#min-cache-ttl=86400。。。这是怎么了？
？？没明白你的意思
主题帖子积分
高级魔法师, 积分 621, 距离下一级还需 379 积分
？？没明白你的意思
就是dnsmasq.conf.add里去掉#，然后是min-cache-ttl=86400
重启后还原是#min-cache-ttl=86400！
主题帖子积分
魔力币1583
可否提供ss-tunnel的国外dns地址设置
本来高级设置部分我是希望尽量精简的
当初还想过，把opendns的所有服务器开放给用户设置，后来没做
ss-tunnel目前我是用了8.8.8.8，如果你要更改，可以去/jffs/ss下，找相应模式文件夹里的start.sh文件，去更改里面的ss-tunnel的启动命令
毕竟估计99%的用户也不需要去改ss-tunnel的dns的
剩下1%的用户，想要自己设置，应该也难不倒他们
主题帖子积分
初级魔法师, 积分 117, 距离下一级还需 83 积分
sadoneli 发表于
？？没明白你的意思
你测试chinadns的时候有没有把国外的dns用ss转发设置成127.0.0.1:5354,我用这种方式效率很高
主题帖子积分
魔力币1583
就是dnsmasq.conf.add里去掉#，然后是min-cache-ttl=86400
重启后还原是#min-cache-ttl=86400！
可以去/jffs/ss下，找相应模式文件夹里的start.sh文件，去更改里面的dnsmasq的设置
在上上个版本，我是打算做成24小时ttl的，但是对于部分小白用户，可能有些问题，就会导致污染ip被缓存，所以给注释掉了
后头考虑把这个参数开放到web设置中把
主题帖子积分
初级魔法师, 积分 117, 距离下一级还需 83 积分
sadoneli 发表于
本来高级设置部分我是希望尽量精简的
当初还想过，把opendns的所有服务器开放给用户设置，后来没做
用ss服务器本地的dns对解析出当然ip是有对当地优化的 比如我用香港的ss服务器 dns设置成香港本地的dns比google或者opendns解析出的ip延迟更低
主题帖子积分
魔力币1583
你测试chinadns的时候有没有把国外的dns用ss转发设置成127.0.0.1:5354,我用这种方式效率很高
当然有啊，但是问题不在于这里，而是在于chnroute，不可能包含全部的中国ip段，我所在的湖北移动的dns，就不在里面，导致isp解析的污染ip结果为pass
实测过程中，国内的解析非常友好，污染ip无法完全filter掉，导致翻wall效果打折
本想如果chinadns表现良好，用pdnsd给国外解析结果做个缓存来弄，但是因为前面说到的原因，我还是放弃了
主题帖子积分
高级魔法师, 积分 621, 距离下一级还需 379 积分
本帖最后由 dsyo2008 于
19:50 编辑
可以去/jffs/ss下，找相应模式文件夹里的start.sh文件，去更改里面的dnsmasq的设置
在上上个版本，我 ...
原来是这个，以为直接改那个！
还有ss-local问题
我设置不成功，192.168.1.1 1081应该对的
但是FF设置上不了，是啥原因？
dnsmasq是原版，默认3600啊 改86400没用。。
我dig 看下果然是默认3600.。。
主题帖子积分
魔力币1583
用ss服务器本地的dns对解析出当然ip是有对当地优化的 比如我用香港的ss服务器 dns设置成香港本地的dns比g ...
不同与openwrt的做法，所有相关软件的重要参数都是开放给用户设置，这点对懂的人来讲非常友好，对小白就增加了学习成本
然而，用merlin固件的人，小白用户比例实在太大，所以ss功能的设计思想是提供最简便的设置，能不开放的参数，就不开放（即使对于这种最为简单的设置方式都有小白不知所措的）
对于稍微进阶点的，提供了四个模式的所谓的高级设置页面，稍微兼顾了下高级用户的需求吧
所以固件的ss功能是考虑大多数用户哈，对于高级用户，还是那句话：想来也难不住他们。去jffs分区改脚本就行了
DDOS纪念勋章
DDOS纪念勋章
Powered by使用DNSCrypt解决DNS污染问题，让你正常观看youtube | 乱炖
本人原创分享，转载请注明：之前公布了hosts地址，可正常解决不能访问google、facebook、twitter、youtube、wikipage的问题。不过存在一个问题，观看youtube时，只能访问youtube的网页，却看不了youtube的视屏。虽然本人并不是youtube控，不过追求完美心里作祟，还是找到了一个看起来还不错的免费解决方案。通过DNSCrypt来解决DNS污染的问题。DNSCrypt官方介绍页面：DNSCrypt使用类似于SSL的加密连接向DNS服务器拉取解析，所以能够有效对抗DNS劫持、DNS污染以及中间人攻击。DNSCrypt的客户端版运行后，会自动在状态栏显示服务状态，并自动修改DNS服务器地址为127.0.0.1，通过本地加密的方式安 全连接OpenDNS，这样，本地所有的DNS请求都会加密进行从而绕过DNS污染，最终顺利解析到正确IP地址，根据我的测试，这个工具可以一劳永逸地 解决所有DNS污染问题。注：为了更高效率的避免DNS污染，可配合hosts一起使用，hosts修改方法及更新地址见：另：你可以通过邮件订阅获取最新的免费翻墙消息DNSCrypt目前支持的操作系统包含有，windows、Mac、Ubuntu，下面会分别进行说明。Window 安装 DNSCrypt安装方法：客户端下载地址：windows源码地址：使用方法：&客户端使用方法，参见Mac说明Mac OS 安装 DNSCrypt安装方法：客户端下载地址：通过homebrew编译安装$ brew install dnscrypt-proxy使用方法：我使用的是Mac 客户端，下载并安装成功后需要重启系统，界面如下：在Enable DNSCrypt选项上划勾选中即可，操作界面上的盾牌将变成绿色，说明已经成功了，windows客户端亦然。另外，DNSCrypt 可自己选择DNS服务，我这里使用的是默认的OpenDNS，DNS服务源截图：其他高级方法，请自行搜索，这里不再赘述。使用后的效果：youtube可正常访问，视屏可以正常浏览随机点开某个视屏，开始观看前，有一小段等待时间看视频合辑很流畅，没有任何卡顿，视屏播放完毕切换的时候，无需加载等待视频为360p的视频可流畅播放、480也可以，具体看本地网速若为高清HD视频，720p及1080p，也可以观看。若你本地网速不够好，可能会有加载卡顿现象；若遇到不能播放，请重新刷新，要求不高，可不要看HD视屏，youtube可不像渣库那样，有这么多高清电影哦最后是ubuntu安装这个就复杂了，大家自备板凳和瓜子吧。在 Ubuntu 中，可以用如下命令安装 DNSCrypt：sudo add-apt-repository ppa:shnatsel/dnscrypt
sudo apt-get update
sudo apt-get install dnscrypt-proxy注：这个 PPA 不是官方的，所以如果不放心的话可以检查一下其源文件的可靠性，参考（PPA Description 最后一节），或者自行编译安装，从下载。接下来在终端运行$ nm-connection-editor选中并编辑当前所使用的连接在编辑窗口中切换到“IPv4 Settings”选项卡Method 处选择 “Automatic (DHCP) addresses only”下方的 DNS Server 处填入 127.0.0.2保存退出后断开并重新开启这个连接即可最后用这个命令运行 DNSCrypt：dnscrypt-proxy --daemonize --user=dnscrypt为了确认是否成功开启了 DNSCrypt，可以访问来检查。如果系统是 Ubuntu 14.04 则还需要运行下面两个命令，否则会无法正常关机：sudo apt-get install apparmor-utils
sudo aa-complain /etc/apparmor.d/usr.sbin.dnscrypt-proxyDNSCrypt 会自动加入开机启动，不用额外设置。Good Luck & Have Fun!最后，有什么问题，大家可以给我留言哦，别忘了关注我的博客哦：
您可能也喜欢：
TA的推荐TA的最新馆藏[转]&[转]&[转]&