电信用1.1.1.1做dns,大部分域名解析出来的ip都是反炸ip

查看 89|回复 9
作者:emptysuns   
   
现在直接访问
http://1.1.1.1
就是跳到反炸界面,前几天的新闻了
这两天访问我两个流量不是特别大的网站提示反炸
我以为被污染了,结果itdog上测了一下结果正常,那我就认为是地区dns污染
后来指定dns服务器测了一下我本地电信运营商的地区dns也没有反炸,这就很奇怪了,我dns解析没问题,可是一访问还是反炸
后面排查下找到罪魁祸首,是openwrt的dnsmasq的一个上游dns我设置的1.1.1.1,这个dns服务器被污染了
拿91ai.net举例,地图上绿色的部分都是被污染的地区,暂时看到电信才会被污染,其他两家没看到
红色框里是被污染的反炸ip  182.43.124.6
https://www.itdog.cn/dns/91ai.net

而换成114、阿.里dns或者我本地运营商的dns都没事只有1.1.1.1有问题

都是, 地区, 电信

mdn   
Fightlee   
是1.1.1.1进去了
雪丫鬟   
丫鬟建议你用101.101.101.101。绝对不会出卖你的信息。
emptysuns
OP
  

Fightlee 发表于 2023-10-10 00:49
是1.1.1.1进去了

1.1.1.1确实进去了,是80端口,dns查询用的udp 53端口
电信大部分区域解析出来的ip还是正常的,只有上面绿色的部分解析域名都是反炸ip

wwbfred   
   
是的,十一左右开始的,1.1.1.1解析的所有域名都有可能被污染到182.43.124.6,就连baidu.com也不例外。
这个不是运营商的路由劫持,就是G|FW返回的虚假IP,因为后续真实的数据包会到达。现在应该是北京和广州的电信出口部署了这个规则,上海出口和移动联通没有部署,不知道后续会不会统一。
现在网上搜到的都是http污染的案例,还没人提53端口的DNS污染,按理说这个影响更大。有需求的可以先用1.0.0.1或是1.1.1.2,这两个暂时没有污染。
cwmz   
doh,dot不就好了
笑花落半世琉璃   

cwmz 发表于 2023-10-10 19:15
doh,dot不就好了

感觉时不时会抽风出毛病,这玩意儿
wwbfred   
   

cwmz 发表于 2023-10-10 19:15
doh,dot不就好了

很多人不愿用DOH,RTT太长了。TCP握手,TLS握手,HTTP握手,然后才是DNS查询,整个流程下来耗时翻好几倍,尤其是这种境外DNS解析个地址得半秒多。中间再给你丢个包,你就偷着乐去吧。
sf5z20101   
我是用腾讯的dns+用adguard home自建的doh
您需要登录后才可以回帖 登录 | 立即注册

返回顶部