一般运营商的 dns 劫持也是抢答么

没记错的话，DNS 应该是 udp53 ？
劫持目的地址 udp53，指向自己搭的

路由劫持

DNS 协议就是这样的 以最先回答的为准

udp 无连接可以劫持，本质就是抢答。

而且没记错的话 DNS 也是随机应答的，正常情况下不会总是一台服务器应答。

@fangdingjun 这样的话 udp dst 53 的包就出不去了吧

直接把所有发到 UDP 53 的包转发到自己的 DNS 服务器就好了，不用抢答这么麻烦。

感觉楼上计算机网络都学的特别好

写个工具验证下就好了。注册个域名 ns 到自己服务器上，看看返回的结果后自己服务器上有没有日志。

问个问题 是不是用 https2.0 的话运营商很难劫持？

@iPhone8 #8
劫持的话 ，其实看原理吧， 公网只谈 IP 协议，NAT 的话 一般是 UDP 发出去，然后 只有对应的 IP 的 53 端口才能响应数据回来，简单的来讲是 本地 ip udp 3123 -> 远程 ip udp 53 ，远端 ip 只能 53 端口 往回发到本地的 3123， 远端换个 ip 或者换个端口 这个 NAT 就根本通不过

@iPhone8 #8 所以总结的话 ，应该就是直接劫持了 IP 报文，然后伪造了一个 IP 报文

@mengdisheng https 还有 2.0 ？涨姿势了

@misaka19000 写错了。。http2 好像防劫持跟 http2 没什么关系

用 dnssec 岂不美哉

把 dns 请求重定向到自己的服务器上就行了

@goofool #16 IP 报文 过不了 NAT，不光重定向，IP 报文的源地址 也要修改

@q397064399 一般家用路由器都是 full cone，哪有过不去的

@mt7620 我这的网络不劫持, 想知道劫持的地方的网络是什么情况