关于山东联通检测 DDNS 封宽带，目前已知的信息

看到最近有不少用山东联通宽带的朋友们说，因为使用 DDNS 被警告停宽带了。也有人发现自己的 DDNS 域名被屏蔽，解析结果为 127.0.0.1 。随便以“山东联通 DDNS”为关键词在网络上一搜，就可以找到很多类似的帖子：

本人在两年前被联通上们检查过（见 https://www.v2ex.com/t/781445 ），作为类似事件的经历者之一，谈谈已知的情况吧。如果有了解相关信息的其他朋友欢迎补充。

据我了解，山东联通针对 DNS 解析部署了一套检测系统，来检测是否有域名的解析到了家宽的 IP 段，具体运作原理不得而知。证据：我自用的 DDNS 域名指向了家宽的 IP ，但此家宽 IP 除了 SSH 外没开放任何端口，更没有任何 web 服务。此外，当时联通的工作人员上门时给我看了一个名单，上面有每个家宽账号对应的域名、解析次数、装机地址、处置建议（一般写的是“拆机”或者“整改”，本人的写的是“拆机”）。
至于是否有 HTTP 、HTTPS 检测，不得而知。但因为我没有开放任何 web 服务，当时给联通写了份情况说明（大致内容是域名用于远程登录，没有开设 web 等等）就交差了。猜测山东联通同样也会有 http/https 检测，如果被检测到 web 估计要麻烦的多。
目前能确定部分地区会劫持 DDNS 域名至 127.0.0.1 ，不清楚是仅劫持常见 DDNS 域名还是检测 DNS 解析结果，但估计不是全省统一的，我这里没有这种情况。
联通的目的是查 PCDN 。两年前我被上门时，我和联通的工作人员聊了很久（那个工作人员比较懂技术，看我装的 NAS 和智能家居之类的我们聊得比较开心），给我看了好多联通的内部文件、通知、和客户沟通话术等，全是和 PCDN 相关的。

自从那次被联通上门后，目前没有被再次骚扰过（不敢说大话，说不准只是侥幸）。根据我所了解的情况，给大家的建议：

从目前的情况看，山东联通对 PCDN 查得很严。如果你真的在跑 PCDN ，建议停掉。
一定不要用家宽 IP 开 web 。如果被检测到 web ，他们就有充足的理由停你宽带了。即使你的 web 页面只是 NAS 、路由器的登录界面，以山东这地方官僚主义一刀切的作风，不用说太多大家都懂。
至于用 DDNS 但是不开 web 的朋友，我的建议是还是要刚一刚，不行就去投诉。使用 DDNS 但不提供互联网信息服务的情况下，不违反任何法律。运营商的目的是查 PCDN ，一刀切的他们的问题，作为用户我们理直气壮。

raysonx

241 天前

此外，我发现另一个帖子 https://www.v2ex.com/t/940596 附了一张整改告知函的照片。我在两年前被查时，没有那么正式的东西，只是打电话上门检查。不清楚这个整改告知函是全省统一的模板还是某个地方自己搞的。

这个告知函里第 1 项提到 DDNS 指向联通 IP 违反《互联网域名管理办法》第三十七条这个纯粹是瞎扯。《互联网域名管理办法》全文见 https://www.gov.cn/gongbao/content/2017/content_5241917.htm ，第三十七条对应第五十一条的罚则，是对提供域名解析服务进行的规定，也就是对架设 DNS 服务器的提供商（例如 DNSPod 等）作的规定，和我们用户没有一毛钱关系。

huahsiung

241 天前

针对协议，可以采用基于 udp 的 VPΝ协议。由于 udp 的特殊性。握手不对，可以不做回应，导致不确定端口是否打开。

针对解析结果为 127.0.0.1 ，使用支持 dnssec 的国外 dns 服务器，并且自己设备 dns 地址指向该 dns 地址。（反正是自己设备嘛，又不要求别人兼容）

针对 DDNS ，不承认域名是自己的，也不承认是自己指向的。不知道怎么回事。也不知道是谁指向的。

在没有端口，没有证据证明域名是自己的情况下，可以硬刚。不行就去投诉。“运营商以莫须有的理由封宽带”。

由于没有任何端口打开，仅凭一个 dns 指向是不能说明什么的。不然如果故意指向他人宽带，就能封停了

xiaooloong

240 天前

如果是通过 dns 来检测那是不需要你在宽带上开放端口的，甚至不需要宽带上有任何流量。单纯通过省 dns 解析缓存里，把宽带 ip 筛选出来就行了。

比如山东联通 dns 是 202.102.152.3 ，只要有联通用户请求域名解析，202.102.152.3 就会去权威 dns 递归出域名的 ip ，缓存后返回给用户。这样只需要从缓存里查一下哪些 ip 是宽带 ip 就可以定位 ddns 用户了。

缺点是只能运营商自家查自家。如果宽带是联通，用户从电信 dns 解析，或者是阿里/114/腾讯 dns ，那么联通那边就查不到了。