V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
Septembers
V2EX  ›  问与答

关于 DNS 劫持问题你们是怎么解决的?

  •  
  •   Septembers · 2015-07-24 19:20:18 +08:00 · 6072 次点击
    这是一个创建于 3413 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我计划 树莓派2 + 各种DNS反劫持软件 打包做成一个 反DNS劫持系统 吧树莓派用起来

    目前想法如下:

    整合这些软件:DNSCryptPcap_DNSProxyChinaDNSDNSPing

    解析:公共DNS、多个反污染DNS解析、各ISP DNS解析

    策略:常规结果黑名单、基于延时排除不可达结果

    管理:自己写个控制台来管理

    你们觉得这计划可行性如何?

    21 条回复    2015-07-25 13:33:56 +08:00
    49
        1
    49  
       2015-07-24 19:23:32 +08:00 via Android   ❤️ 1
    阿里云自建DNS,无污染,顺便翻墙。萌萌的感觉比shadowsocks翻墙略快。
    @showfom 兽兽宝宝也是这么干的。
    隔几天弄一下iptables
    49
        2
    49  
       2015-07-24 19:27:05 +08:00 via Android   ❤️ 1
    @49 关于楼主的想法,我觉得DNScrypt没必要,opendns5353就行了。
    网上有个大约有七千个中国网站列表,走114的DNS,gfwlist的走我的sniproxy,其余的走opendns
    Septembers
        3
    Septembers  
    OP
       2015-07-24 19:28:01 +08:00
    @49 公共DNS的话带上edns信息也许会更好
    KCheshireCat
        4
    KCheshireCat  
       2015-07-24 19:33:03 +08:00   ❤️ 1
    dnsmasq + dnsmasq-china-list 项目 + 非标端口国外DNS + 同ISP邻省的最佳DNS

    有VPS的话,走VPN查询国外IP也是可以的
    linhua
        5
    linhua  
       2015-07-24 19:33:11 +08:00   ❤️ 1
    @49
    你的sniproxy有密码保护吗?被别人扫到怎么办?
    imn1
        6
    imn1  
       2015-07-24 19:35:33 +08:00   ❤️ 1
    我没那么复杂,就 privoxy+dnsforwarder,firefox开remote dns,就基本解决了
    走了privoxy就基本见不到 ISP 广告了,如果有广告(3年来至今只见过两次),基本上是 js 的,可查
    dnsforwarder并发向多个dns查询,偶见114拦截了一些域名,不过刷新一下(等其他dns的返回结果)就行了,重要的例如 xmarks 走tcp,虽然较慢,但改了TTL后缓存,基本当天不需要再次查询

    目前遇到最奇特就是 linux/firefox 死活不能解析 translate.google.cn,非要手动 nslookup 一次才行
    但 windows 却毫无问题,万思不得其解~
    49
        7
    49  
       2015-07-24 19:37:09 +08:00 via Android   ❤️ 2
    @linhua 没有密码保护,用iptables设置白名单,用Python操作iptables来动态增加
    49
        8
    49  
       2015-07-24 19:39:36 +08:00 via Android   ❤️ 1
    @KCheshireCat 请问“同ISP邻省的最佳DNS ”这个如何获得呢?重庆电信默认的DNS禁止了外省查询,然而我的阿里云在北京。。
    无奈只能114了,Apple CDN也是手动设置的
    KCheshireCat
        9
    KCheshireCat  
       2015-07-24 19:59:06 +08:00   ❤️ 2
    @49

    我是在网上搜集了一些不是本省但是同ISP的DNS,然后通过DNSBench这个软件检测

    确实有很多DNS都禁止外省查询,但是还是能发现几个DNS可用
    datocp
        10
    datocp  
       2015-07-24 21:08:01 +08:00 via Android   ❤️ 1
    这个话题,难道无污染dns解析出ip就能连上被封网站吗。
    既然要挂代理,socks4a+版本就支持dns远程解析,又何必需要dns。

    还是觉得privoxy+stunnel是最简单的解决方法。
    一个支持黑白域名选择性挂代理,
    另外一个支持把tcp用证书方式加密到本地访问。

    想用代理就挂上去。没什么cdn之类的问题。
    xbb7766
        11
    xbb7766  
       2015-07-24 21:32:47 +08:00   ❤️ 1
    ipv6的dns,或者opendns用443或5353口. dnscrypt感觉查询慢。
    wy315700
        12
    wy315700  
       2015-07-24 21:33:44 +08:00   ❤️ 1
    ss-tunnel
    datocp
        13
    datocp  
       2015-07-24 21:41:32 +08:00 via Android   ❤️ 1
    这几天刚在电信线路用上6to4 ,本来还一阵兴奋google搜索连带敏感关键词都不存在。。。
    但是今天又注意到facebook后来用google的dns能访问首页了。但是twitter google学术之类的依然没任何办法。包括很多tb tunnel,不知道6to4跟原生ipv6差距大不,原来限制依然存在。。。
    XiaoxiaoPu
        14
    XiaoxiaoPu  
       2015-07-24 21:55:25 +08:00   ❤️ 1
    @datocp twitter.com scholar.google.com 没有 AAAA 记录,IPv6 当然访问不了
    simodorg
        15
    simodorg  
       2015-07-24 22:01:43 +08:00 via iPhone   ❤️ 1
    @49 我突然发现你是不是那个郑杰?...
    lilydjwg
        16
    lilydjwg  
       2015-07-24 22:35:20 +08:00   ❤️ 1
    iptables + beautifuldnsd + geoip + tcpdnsproxy + shadowsocks + dnsmasq
    lilydjwg
        17
    lilydjwg  
       2015-07-24 22:38:08 +08:00   ❤️ 1
    DNS 反劫持是 beautifuldnsd 的功能(当然也可以用 dnsmasq 的 bogus-nxdomain 来处理,如果预先知道劫持目的 IP 的话)。DNS 反污染 beautifuldnsd 的效果不好,加上 iptables 规则会好一些。
    49
        18
    49  
       2015-07-24 23:07:17 +08:00
    @simodorg V友是CQUPT学长?QAQ
    CinderellaCiCi
        19
    CinderellaCiCi  
       2015-07-24 23:09:13 +08:00 via Android   ❤️ 2
    simodorg
        20
    simodorg  
       2015-07-24 23:13:57 +08:00
    @49 不是不是,我还是个小屁孩...
    gamexg
        21
    gamexg  
       2015-07-25 13:33:56 +08:00   ❤️ 1
    安利下刚刚做好的

    https://github.com/GameXG/TcpRoute
    TcpRoute ,tcp 层的路由器。对于 tcp 链接自动从多个线路、多个域名解析结果中选择最优的线路。


    智能解析及gfwIP 都能自动屏蔽,目前唯一一个问题是 zh.wikipedia.orgzh-cn.facebook.comgist.github.com 会因未知原因被解析到 twitter.com 的IP ["199.16.158.168", "199.16.158.179"] ,已手动处理了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5403 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 54ms · UTC 07:27 · PVG 15:27 · LAX 23:27 · JFK 02:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.