扫盲 DNS 原理，以及“域名劫持”和“域名欺骗/域名污染” | 沈超飞的IT博客
Dannisdofpowerqpowerq最热文章文章归档解决DNS污染与劫持之使用特殊DNS端口
os:ubuntu 12.04 LTS
软件:dnsmasq
@8.8.8.8 +short
37.61.54.158
在wiki词条中可以发现37.61.54.158在虚假ip地址中，说明此dns已遭污染。
@208.67.222.222 -p 443
31.13.79.49
31.13.79.49为facebook的正确地址。google的dns服务不支持特殊端口查询，但opendns支持，其ip为208.67.222.222,208.67.222.220，支持的特殊端口为443,5353。
在ubuntu中，我们可以用dnsmasq来指定被污染ip用特殊端口查询.
从Ubuntu 12.04开始网络管理器默认开启了dnsmasq，但出于安全的考虑没有开启其缓存功能。这个改动至少在我这里导致了一些问题，比如偶尔出现网速变慢。 经过尝试，可以完全禁用该服务，或者设置使用谷歌DNS服务，同时开启dnsmasq的本地缓存（可以大幅提高重复访问网站时的响应速度）。
完全禁用的方法：
sudo vim /etc/NetworkManager/NetworkManager.conf
注释掉里面的dns=dnsmasq然后重启网络管理器
sudo restart network-manager
重新安装完整dnsmasq：
sudo apt-get install dnsmasq
sudo vi /etc/resolv.conf
&确保resolv.conf内容为:
nameserver 127.0.0.1
sudo vim /etc/dnsmasq.conf
直接在文件最后添加：
listen-address=127.0.0.1
bind-interfaces
cache-size=100000
domain-needed
resolv-file=/etc/resolv.dnsmasq
server=//208.67.222.222#5353
server=//208.67.222.222#5353
即可指定访问facebook网站时向opendns的5353端口进行dns请求，以此类推。这个设置支持泛解析，比如
server=/com/208.67.222.222#5353
即指定所有.com域名。
重启dnsmasq:
sudo service dnsmasq restart
&再测试dns:
&若返回31.13.79.49或其他不在虚假ip表里的ip即成功。
ps -fC dnsmasq|more
&查阅得知dnsmasq在ubuntu中的dns设置在/var/run/dnsmasq/resolv.conf中。dnsmasq的日志记录在/var/log/syslog中。
上一篇：下一篇：
评论功能关闭
根据国家法律法规要求，本站暂时关闭文章评论功能。开放时间不确定。我们将谋求一种可以让大家更好的发表意见的方式。
根据国家法律法规要求，只有实名认证后才可以发表评论。
os:ubuntu 12.04 LTS 软件:dnsmasq dns测试: dig
@8.8.8.8 +short 37.61.54.158
在wiki词条域名服务器缓存污染中可以发现37.61.54.158在虚假ip地址中，说明此dns已遭污染。 dig
@208.67.222.222 -p 443 31.13.79.49
31.13.79.49为facebook的正确地址。google的dns服务不支持特殊端口查询，但opendns支持，其ip为208.67.222.222,208.67.222.220,支持的特殊端口为443,5353。 在ubuntu中，我们可以用dnsmasq来指定被污染ip用特殊端口查询. 从Ubuntu 12.04开始网络管理器默认开启了dnsmasq，但出于安全的
分享到微信
打开微信，点击顶部的“╋”，
使用“扫一扫”将网页分享至微信。
请将我们加入您的广告过滤器的白名单，请支持开源站点。谢谢您。有需要解决DNS污染（洁癖）的同学可以进来看下！ - OPENWRT专版 -
恩山无线论坛 -
Powered by Discuz!
后使用快捷导航没有帐号？
只需一步，快速开始
请完成以下验证码
请完成以下验证码
查看: 6513|回复: 24
有需要解决DNS污染（洁癖）的同学可以进来看下！
本帖最后由 a 于
20:52 编辑
参考我的V2EX的帖子：&&（这种比较强势的东西v2ex一般不给未注册用户看，所以没登陆的同学是看不了的，防和谐）
里面有详细方法，国内域名走TCP防运营商劫持（CDN正常不会乱跳，因为还是使用运营商的DNS），国外域名走非标端口5353防GFW干扰。
由于有朋友说V2访问不了，那我就稍微勤劳一点，复制一下：
由于 15.05.1 取消了 pdnsd ，不再对此讨论，试过 14.07 的包拿来直接用，有未知问题，延迟高，没有 unbound 流畅。
unbound 支持 TCP 支持非 53 端口支持向根域名服务器解析，又轻巧，真是没理由不用它。
我直接用的官方固件， opkg install unbound 和 wget 后由于 dnsmasq 占用 53 端口 unbound 安装会有提示无法启动，进 dhcp/dns ，把 local domain 里的 lan 删掉，再到高级选项，把 dns server port 设为 0 ，在接口 lan 的高级选项 dhcp-option 添加 6,192.168.1.1 。然后到启动项 startup 里运行 start unbound 或 /etc/init.d/unbound start 。然后打开 /etc/unbound/unbound.conf 修改如下：
tcp-upstream 去掉注释改为 yes ，直接用 UDP 向根域名服务器解析会遭到运营商的投毒和 GFW 的投毒。
2 个 access-control 后面的 allow 改为 allow_snoop ，为了能 dig +trace
注释掉 auto-trust-anchor-file ，运营商 DNS 不支持 DNSSEC 。 DNSSEC 只有域名和权威 NS 、递归 DNS 同时支持才有效果，而大部分域名和权威 NS 并没有。所以没什么用，我试过开启并关掉 TCP 向根域名服务器请求，还是被运营商污染投毒了。 GFW 更不用说。
由于直接向根域名服务器请求 TCP 会因为有些 NS 不支持 TCP 导致无法返回结果，同时也会由于 GFW RST 阻断无法解析被投毒的域名，根据 CNMAN 提供的代码精简后，获取国内域名走 TCP 53 运营商 DNS ，被 GFW 投毒污染的域名走 TCP 53 或者非标端口 5353 、 443 之类的。
在 unbound.conf 末尾添加
include: &/etc/unbound/unbound.forward-zone.China.conf&
forward-zone:
& && &&&name: &.&
& && &&&forward-addr: 8.8.8.8
& && &&&forward-addr: 8.8.4.4
& && &&&forward-addr:
& && &&&forward-addr:
& && &&&forward-first: no
forward-first 设为 no 是无法向根域名服务器 TCP 解析的才会用这些来解析，设为 yes 就不向根域名服务器请求，直接用这些列表里的。
include 跟 forward 的顺序不能错。类似白名单的效果。
pppoe 联网启动脚本里 /etc/ppp/ip-up.d(此目录需要权限 755)目录下新建一个脚本，例如 ip-up(此文件需要权限 755):
wget -N -P /etc/unbound
wget -N -P /tmp --no-check-certificate
cat /tmp/accelerated-domains.china.conf|grep -v '^#server'|sed 's/server=\//forward-zone:\n\tname: &/g'|sed 's/\/114.114.114.114/&\n\tforward-addr: 211.140.13.188\n\tforward-addr: 211.140.188.188\n\tforward-first: no/g'&/etc/unbound/unbound.forward-zone.China.conf
/etc/init.d/unbound restart
搞定以后， sh /etc/ppp/ip-up.d/ip-up ，然后 dig 一下，是不是发现国内 CDN 和运营商的解析结果一致，国外的也正常了？哈哈！每次联网都会更新一遍根服务器和国内白名单。
第一条是更新根域名服务器地址，第二条是下载 dnsmasq-chinalist ，第三条是转换成 unbound 规则， 211.140.13.188 和 211.140.188.188 是我 pppoe 拨号自动获取的运营商 DNS ，支持 TCP 解析， UDP 解析有污染有投毒有劫持，你可以换成自己的运营商 DNS ，或者支持 TCP 的公共 DNS （只有运营商不支持 TCP 才使用，因为公共的 TCP 解析 CDN 有时会乱跑）。所以这个方案是全程 TCP 解析，外加非 53 端口解析。支持非 53 端口的 DNS 很多，好像 dnscrypt 那里有提供列表。
白天上班，每天晚上回家弄测试到半夜，真是给搞得欲仙欲死。
要是哪天所有非 53 端口的 DNS 也被封了，估计又要折腾。
自动转换成 pppoe 获取的 DNS1,DNS2
cat /tmp/accelerated-domains.china.conf|grep -v '^#server'|sed 's/server=\//forward-zone:\n\tname: &/g'|sed 's/\/114.114.114.114/&\n\tforward-addr: '$(awk 'NR==1{print$2}' /etc/ppp/resolv.conf)'\n\tforward-addr: '$(awk 'NR==2{print$2}' /etc/ppp/resolv.conf)'\n\tforward-first: no/g'&/etc/unbound/unbound.forward-zone.China.conf
我的恩山、我的无线
The best wifi forum is right here.
也可看下新轮子 .cn/forum/forum.php?mod=viewthread&tid=196419&extra=page%3D2&mobile=2
没多大意义，只能当作国外域名解析用，就是拿来当dnsmasq和chinadns、unbound的上游用&
我的恩山、我的无线
The best wifi forum is right here.
也可看下新轮子 .cn/forum/forum.php?mod=viewthread&tid=196419&extra=page%3D2&mobi ...
没多大意义，只能当作国外域名解析用，就是拿来当dnsmasq和chinadns、unbound的上游用
pdnsd好奇怪，我在ar71xx 15.05 op上也遇到了解析慢甚至无法解析的问题（pdnsd是用15.05 ar71xx sdk编译的），然而在潘多拉上却没问题，不知道楼主说的pdnsd未知问题跟我这个是不是同一个&
我的恩山、我的无线
The best wifi forum is right here.
网址打不开？
需要登陆，因为防止给查到和谐&
我的恩山、我的无线
The best wifi forum is right here.
网址打不开？
需要登陆，因为防止给查到和谐
登录也打不开，是不是要什么权限才行？&
我的恩山、我的无线
The best wifi forum is right here.
关键字 LUG防污染DNS。教育电信移动三线，支持5353端口，支持TCP。
CDN有问题，全是武汉的。&
我的恩山、我的无线
The best wifi forum is right here.
关键字 LUG防污染DNS。教育电信移动三线，支持5353端口，支持TCP。
CDN有问题，全是武汉的。
我的恩山、我的无线
The best wifi forum is right here.
需要登陆，因为防止给查到和谐
登录也打不开，是不是要什么权限才行？
或者你登录后直接到DNS板块就能看到我的帖子了&
我的恩山、我的无线
The best wifi forum is right here.
就目前来说，防止域名污染，最简单的办法是用ipset加载域名列表，然后ipset中的域名通过ss-tunnel解析即可。
这样都算简单？那我这个不是算超级简单？ss-tunnel不需要服务器？&
我的恩山、我的无线
The best wifi forum is right here.
我去看看。
我的恩山、我的无线
The best wifi forum is right here.
我要灌水。
我的恩山、我的无线
The best wifi forum is right here.
就目前来说，防止域名污染，最简单的办法是用ipset加载域名列表，然后ipset中的域名通过ss-tunnel解析即可 ...
这样都算简单？那我这个不是算超级简单？ss-tunnel不需要服务器？
我的恩山、我的无线
The best wifi forum is right here.
登录也打不开，是不是要什么权限才行？
或者你登录后直接到DNS板块就能看到我的帖子了
我的恩山、我的无线
The best wifi forum is right here.
你的链接 注册了也打不开
试下这个/t/308200#reply22&
我的恩山、我的无线
The best wifi forum is right here.
你的链接 注册了也打不开
注册了点开链接 自动跳到首页/#reply22&
我的恩山、我的无线
The best wifi forum is right here.
Powered by拒绝访问 | www. | 百度云加速
请打开cookies.
此网站 (www.) 的管理员禁止了您的访问。原因是您的访问包含了非浏览器特征(3beed7-ua98).
重新安装浏览器，或使用别的浏览器