这是 dns 污染吗

2016-10-25 17:27:20 +08:00

gtheone1

现象一：
nslookup baidu.com
服务器: public1.alidns.com
Address: 223.5.5.5
非权威应答:
名称: baidu.com.lan
Addresses: 240e:9:0:100:113:12:83:4
113.12.83.4

nslookup v2ex.com
服务器: public1.alidns.com
Address: 223.5.5.5
非权威应答:
名称: v2ex.com.lan
Addresses: 240e:9:0:100:113:12:83:4
113.12.83.4

nslookup hhhhhhhhqadsdkhzfhsenfsfjflkajjflnasassdsf.com
服务器: public1.alidns.com
Address: 223.5.5.5
非权威应答:
名称: hhhhhhhhqadsdkhzfhsenfsfjflkajjflnasassdsf.com.lan
Addresses: 240e:9:0:100:113:12:83:4
113.12.83.4

这是什么鬼？随便输一个都指向 113.12.83.4

现象二：
Chrome 搜索任意关键词都会弹出提示：你是不是要访问
http://i1.piimg.com/1949/4f836fd87ad1eac2.jpg
开启 dnscrypt 后，就不会弹出，测试多次均如此。

现象三：访问某网站会自动跳转到 www.gjjchaxun.com ， Chrome 和 Edge 都跳，奇怪的是， IE 竟然不跳。。而且同一局域网内的手机平板什么的全都跳。

5734 次点击

所在节点

DNS

15 条回复

mytsing520

2016-10-25 20:41:22 +08:00

明显不是

flyfishcn

2016-10-25 20:47:45 +08:00

第一个估计是 DNS 劫持啦
第二个是 Chrome 的特性，不过查了下，估计也是和 dns 劫持有关
第三个可能是劫持的网站代码问题。

gtheone1

2016-10-25 23:10:13 +08:00

@flyfishcn 劫持的话换 dns 应该有用吧，可是我怎么换，问题还是存在

kuretru

2016-10-25 23:22:41 +08:00

这个是路由器的问题，你路由器是 OP 的吧， OP 默认 dnsmasq 会设置搜索域为 lan

langmoe

2016-10-25 23:25:39 +08:00

每个都有个.lan ，是设置了搜索后缀吧？然后 DNS 又有劫持，解析不了的返回固定 IP 那种

ccloli

2016-10-25 23:31:44 +08:00

这是 ISP 在域名无法访问时跳转的提（ guang ）醒（ gao ）页面

LGA1150

2016-10-26 01:22:30 +08:00

把 OpenWrt DHCP 设置中的“本地域名”留空
然后把这个 IP 加入“忽略虚假空域名解析”

flyfishcn

2016-10-26 03:11:21 +08:00

@gtheone1 有种劫持叫 force redirection

a86913179

2016-10-26 23:30:36 +08:00

就像楼上所说，如果你是 Openwrt 路由器那么就不是污染了。是加了搜索域

gtheone1

2016-10-27 08:08:56 +08:00

@kuretru
@langmoe
@LGA1150
@flyfishcn

路由器固件是华硕 Padavan ，我把搜索域去掉了，然后正常网址没事，不存在的网址还是指向 113.12.83.4

nslookup baidu.com
服务器: public1.alidns.com
Address: 223.5.5.5
非权威应答:
名称: baidu.com
Address: 123.125.114.144

nslookup v2ex.com
服务器: public1.alidns.com
Address: 223.5.5.5
非权威应答:
名称: v2ex.com
Address: 14.152.44.135

nslookup hhhhhhhhqadsdkhzfhsenfsfjflkajjflnasassdsf.com
服务器: public1.alidns.com
Address: 223.5.5.5
非权威应答:
名称: hhhhhhhhqadsdkhzfhsenfsfjflkajjflnasassdsf.com
Addresses: 240e:9:0:100:113:12:83:4
113.12.83.4

。。。。
另外出现一个新的问题： http://p1.bpimg.com/1949/712de743f2531085.png 每次搜索百度都会提示

gtheone1

2016-10-27 08:12:30 +08:00

http://p1.bpimg.com/1949/0a0b5468d9a281e5.png
百度一直提示劫持。。

gtheone1

2016-10-27 08:15:22 +08:00

即使用 https 的百度也一样提示劫持。。

LGA1150

2016-10-27 08:32:23 +08:00

@gtheone1 固件没有忽略虚假解析(bogus-nxdomain)的功能？

flyfishcn

2016-10-27 11:13:58 +08:00

@gtheone1 那个不存在网址有结果的就是 DNS 劫持啊，你编辑下 dnsmasq ，把解析到的那个 ip 加到忽略列表就行了。新的问题百度不是已经很明确告诉你是 http 劫持了么。你先看看出提示时候是不是真的是 ssl ，证书对不对。电脑时间对不对，有没有劫持的现象出现（参考你发的第二张图）来判断，如果确实有劫持，只能通过工信部的申诉渠道解决，一般直接找运营商他们不承认的。

FlyingLion

2016-11-28 06:34:17 +08:00

非常明显！

113.12.83.4 这个 IP 是广西电信用来做“流量劫持”（劫持到电信 114 搜索页面，并投放广告）用的！

在你的路由器里，打开 DNSMASQ 功能，增加以下内容即可过滤掉此 IP ！

bogus-nxdomain=113.12.83.4

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/315380

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.