自建 DNS over HTTPS 如何暴露和被攻击的？

2020-09-02 20:30:42 +08:00

foru17

利用 Adguard Home 在香港的服务器上自建了一个 DNS 服务，关闭了 53 端口，修改了 DOT 的 853 端口。

DOH 的地址 dns1.test.com 仅仅是自用，从未公开
国内用 CDN 套了一层，域名是 dns2.test.com ，也从未公开
Windows 客户端用的 YogaDNS
家庭内网用的自建 Adguard Home，上游是自建 DOH
手机上也是用的 Adguard Home，上游是自建 DOH

最近发现，DNS 记录里，有大量未知 IP 的 mDNS 攻击请求

IP 来源是欧美，请求是 _services._dns-sd._udp.local，搜索了一下，资料不是很多。

参考：

我现在临时是把这个请求给 block 了，IP 也 block 了（ IP 每天都变)。

我是比较好奇，在我关闭 53，853，没有探测特征的情况下，我这个 443 端口自用的 DOH 的域名是怎么泄露的？这么多域名，爬虫也不容易扫吧？

13036 次点击

所在节点

DNS

37 条回复

Rilimu

2020-09-03 20:27:38 +08:00

固定的 /dns-query 路径。特容易被扫描。

可以套 m13253/dns-over-https 。把 DOH_HTTP_PREFIX 路径改成自己的，改的跟密码一样。

看谁还能扫描到。

foru17

2020-09-03 22:30:32 +08:00

@Rilimu 多谢提醒，我现在修改成另外的 path 了，过几天再看看会不不会有新扫描。

foru17

2020-09-03 22:31:43 +08:00

@kangsheng9527 不仅仅是去广告，改个 DNS 自己可控对于我来说更方便。

foru17

2020-09-03 22:33:16 +08:00

@zro 我也有更复杂的基于 zerotier 的方案，策略分流，穿透，内网联通啥的都弄了，但是不方便嘛，有些场景也用不上。

foru17

2020-09-03 22:33:58 +08:00

@dingwen07 安卓那个自带的 DNS，好像需要是默认 853 的 DOT，我反正没有配置成功端口形式的。

LeeGo

2020-09-04 09:19:41 +08:00

@foru17 博主，我感觉你这个可以出一期视频了，给小白科普一下吧，很感兴趣。另外你之前推的英国联通卡，英国联通发短信说，10 月 31 日停止服务了

foru17

2020-09-04 10:59:36 +08:00

@Rilimu 亲测，昨天改了后，今天依旧有扫描流量。

indev

2020-09-04 22:33:15 +08:00

dns1 那个可以套在 cloudflare 下面，随他去吧～

Rilimu

2020-09-05 17:17:18 +08:00

@foru17 我去...改 url 后缀后也能被扫描....这也太强了...
全程 HTTPS 的话，url 后缀只有 3 个人知道。你，你的服务器，和 CDN 。
只有一种可能了。就是 CDN 把你出卖了....

Momostudent

2020-09-05 19:24:03 +08:00

Adguard Home 里面不是有个设置：允许的客户端？

Sekai

2020-09-05 23:08:31 +08:00

你为啥不做个白名单....

RickyC

2020-09-06 20:51:36 +08:00

dns over https 只能防止被抓包吧?
dns over https 好像安全性不高

8520ccc

2020-09-07 09:27:50 +08:00

@RickyC 防劫持吧不然毫无益处啊

gesse

2020-09-07 09:58:54 +08:00

按理说，你都换 path 了，path 传输是 https 加密的

除非你这个 path 泄露了，不过这个感觉只能是客户端的问题。

sleepm

2020-09-07 15:09:27 +08:00

ZMap can scan the entire public IPv4 address space in under 45 minutes. With a 10gigE connection and PF_RING, ZMap can scan the IPv4 address space in 5 minutes.
zmap 可以在 45 分钟内扫描整个公共 ipv4 网络空间
万兆且支持内核 PF_RING 的话，5 分钟
国外有些大学，一些研究机构，7*24 扫描整个网络，只是为了研究
设置过滤吧，或者 allowed_clients

qas87

2020-09-14 19:06:54 +08:00

你日志里都显示着 “无加密 DNS ”，那就是从 53 进行请求的，建议检查防火墙

Zikinn

2020-11-22 19:05:38 +08:00

从日志来看，“无加密 DNS”应该还是 53 端口来的

第 2 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/703661

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.