doh 能被运营商劫持吗

88 天前
 znsb

网络:广东移动宽带; dns:opendns/Umbrella 的 doh ,https://146.112.41.2/dns-query

opendns 直连的延迟: https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/b56511701fdaccbb63925acb7041307179547202.png

opendns 代理的延迟: https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/9a270a8aec8e880ec683f30538bdf0fa79547202.png

dnspod 直连的延迟: https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/fdfefe325e0b43654482f6cd553105a879547202.png

为什么 opendns 直连比代理还快?最低延迟居然去到 27ms

3744 次点击
所在节点    DNS
19 条回复
AEnjoyable
88 天前
看一下路由,说不定在 hkCMI 和 opendns 的域有 peer ?
docx
88 天前
广移去香港这个延迟也正常吧
LnTrx
88 天前
如果证书是有效、可信的就不是劫持
billccn
88 天前
DoH 的意义是只有 IP 的拥有者才可能被签发含有该 IP 的证书,这样中间人要攻击的话需要控制一个 CA 才行。

之前乱发证书的 CA 被发现以后都被浏览器除名了,相当于商业自杀。
jackOff
88 天前
你这个查询路由该不会是 adguardhome 吧?扫描通用端口加这种路由一抓就能发现一堆自建 dns 服务器,阿祖建议收手吧
Danswerme
88 天前
江苏和云南到这个 IP 的延迟 40ms 左右,广东移动如果去香港那边的话 27ms 很正常吧。

https://ping.pe/146.112.41.2
znsb
88 天前
@jackOff 不是,我用一款叫“dnspyre"( https://github.com/Tantalor93/dnspyre)的 dns 性能测试工具做测试的
jim9606
88 天前
一般要搞你是直接阻断 doh 连接等你回落到传统 dns
znsb
88 天前
@AEnjoyable https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/eb3305475252f9236bd38da9efb5941e79547202.png
tracert 能看到看出来吗?🥲
znsb
88 天前
@billccn 原来如此。。
wheat0r
88 天前
Anycast IP 是有可能被被运营商投毒的,运营商自己控制 BGP ,伪造一个 IP 地址并不困难。
但是证书就是另一个问题了。
jqknono
88 天前
tls 不能劫持, 但是能阻断.
只有收到消息和收不到消息, 保证消息不会被篡改.
v 站发图可以用 imgur
znsb
88 天前
@jqknono 哈哈哈,我发的图看不到吗哥们。imgur 全英文不好操作
jqknono
88 天前
@znsb 只能看到链接, imgur 的可以在 v 站显示出来

![]( )
pcitme
88 天前
本地劫持延迟只有 1 或者 2ms 都 20 多了肯定正常啊
znsb
88 天前
@jqknono imgur.la
avrillavigne
88 天前
复制图片地址,手机 chrome 没得
AEnjoyable
88 天前
@znsb #9 路由是正常的没有劫持
同上,如果运营商想要劫持 doh ,不管怎么样都得对证书下手
znsb
87 天前
好的感谢哥们指导

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1137767

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX