自建 DNS over HTTPS 如何暴露和被攻击的？

2020-09-02 20:30:42 +08:00

foru17

利用 Adguard Home 在香港的服务器上自建了一个 DNS 服务，关闭了 53 端口，修改了 DOT 的 853 端口。

DOH 的地址 dns1.test.com 仅仅是自用，从未公开
国内用 CDN 套了一层，域名是 dns2.test.com ，也从未公开
Windows 客户端用的 YogaDNS
家庭内网用的自建 Adguard Home，上游是自建 DOH
手机上也是用的 Adguard Home，上游是自建 DOH

最近发现，DNS 记录里，有大量未知 IP 的 mDNS 攻击请求

IP 来源是欧美，请求是 _services._dns-sd._udp.local，搜索了一下，资料不是很多。

参考：

我现在临时是把这个请求给 block 了，IP 也 block 了（ IP 每天都变)。

我是比较好奇，在我关闭 53，853，没有探测特征的情况下，我这个 443 端口自用的 DOH 的域名是怎么泄露的？这么多域名，爬虫也不容易扫吧？

12998 次点击

所在节点

DNS

37 条回复

LnTrx

2020-09-02 21:17:00 +08:00

IP 访问源站 443 是否有响应？

foru17

2020-09-02 23:05:09 +08:00

@LnTrx 主域名 443 就是 Adguard Home 的 Web

foru17

2020-09-02 23:06:33 +08:00

@LnTrx ip + 443 是一个静态错误页面，且因为证书错误无法访问。

dingwen07

2020-09-02 23:15:39 +08:00

试着把 HTTPS 改成不常见端口，估计是在扫 DoH
话说 DoT 端口修改之后安卓私人 DNS 应该如何配置？我三星加端口号无法保存

mywaiting

2020-09-02 23:17:43 +08:00

不负责任猜测 CDN 的证书透明度或者共享的 SNI 记录把子域名泄露了~

Love4Taylor

2020-09-02 23:25:00 +08:00

@dingwen07 Android 不让自定义端口除非你去改 aosp 或者用 iptables 重定向。

zro

2020-09-03 00:57:50 +08:00

既然私用，我都是用 V*N 连的，顺便策略路由也一起做了。。😏

EvilCult

2020-09-03 01:16:07 +08:00

问句题外话：这玩意好用么，我怎么脚着开了没什么效果啊。。。

caola

2020-09-03 02:01:06 +08:00

@foru17 Windows 客户端，目前 win10 19628 以上版本自带

mytsing520

2020-09-03 07:38:25 +08:00

只要暴露在互联网上，不到一天你 IP 上有什么东西，别人都知道的一清二楚

ifxo

2020-09-03 08:46:03 +08:00

说明你太小看电脑了，扫描端口很难吗，除非你把端口全封了，藏能藏多久

alan0liang

2020-09-03 09:40:28 +08:00

会不会是有人扫 https://ip:443 通过响应证书发现您用的域名，然后知道域名之后再访问 https://domain:443 进而发现 DoH ？

guanhui07

2020-09-03 10:46:03 +08:00

可以扫描端口

LnTrx

2020-09-03 10:58:49 +08:00

@foru17 如果提示证书错误，那就说明服务端有响应。如果提示 NAME_INVALID，那更说明服务端发送了证书，则可以根据证书推知主机域名。建议直接禁止 IP 访问。

kangsheng9527

2020-09-03 13:29:03 +08:00

没必要自建 DNS over HTTPS，直接使用 vpn 解决方案，而且是共享多人使用那种最安全，自己搭建销售给多人使用自己也用更安全，因为自己可控。

vpn 全是远程 dns 解析的。

还有为何要自建 DNS over HTTPS，firefox 之类的应该有，如果不信任 firefox 那么为何不直接自建 vpn 解决方案。

我刚好从事这一方面的项目，所以说说。

mouyase

2020-09-03 14:14:51 +08:00

@kangsheng9527 或许楼主只是想 DNS 去广告

kangsheng9527

2020-09-03 14:52:05 +08:00

@mouyase dns 去广告不如 hosts 去广告更直接简单。。。

janda

2020-09-03 15:24:00 +08:00

我也是用 Adguard Home 搭建的、多了很多未知 IP 、全是欧美那边！
![wPAvLD.png]( https://s1.ax1x.com/2020/09/03/wPAvLD.png)

raycheung

2020-09-03 15:47:21 +08:00

通过模拟 DoH 请求，通过响应结果鉴别的吧。
看到过这样一个项目： https://pypi.org/project/doh-proxy/#doh-client

foru17

2020-09-03 17:48:48 +08:00

@LnTrx
@guanhui07
@alan0liang
我这个服务器上也挂了其他网站，ip:443 这个端口访问，对应并不是 DOH 服务和域名，就是一个普通的 nginx 静态错误页面，错误证书也是其他网站的证书。

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/703661

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.