不使用运营商的 DNS 就不能上网，真是耍流氓阿！！

一个翻墙软件 都支持远端解析 dns

运营商的很多 dns 只响应来自此运营商得查询请求，联通的 116 也是。不能在各种云上搭 dns server 使用这些 dns 做上游。只能搭在运营商网络下。

走非 53 端口不就好了，或者 tcp

@izhaohui 胡说八道

这么流氓？ 把 53 端口给封了？

@xxxbi 至少我验证过 116 ，你这番胡说就否定了我，厉害👍

@shoaly 远端解析，已经实现了，但是像网易云音乐这个东西，居然解析到香港的 ip 。就用不了。
@izhaohui 的确是这样的。
@21grams 非常流氓。

@xxxbi 不知道别瞎扯淡，电联绝大部分都会给自己省的 DNS 部署 BCP38 防火墙不让外省查询以降低 DNS 放大攻击。

dnsmasq 配置网易云用运营商 dns 解析

我尝试过搭在阿里云上，自编新版 dnsmasq 使用 add-subnet 参数启用 edns ，配合阿里 DNS ，再用一份 dns china list ，又套了一层 dnscrypt 开放给我的宽带用，基本解决了污染和 cdn ，但是感觉这么麻烦不如搭建在本地，后来就没用过了

工信部投诉试试。就说运营商强制客户使用其 dns 服务。

@linkbg 那是因为你服务器确实在香港吧, 找一个 国内的服务器的, 也就是反向入墙服务.... 现在也很火啊, 美国那些个莘莘学子都靠入墙服务 看优酷, 听音乐呢

看标题就知道是移动

我估计以后其他运营商都会这么搞，符合中央的精神。

@linkbg https://www.v2ex.com/t/350162

深圳联通把 8.8.8.8 8.8.4.4 114.114.114.114 也给劫持了.

运营商这么做只是为了方便调度，让资源尽量走内网。
不过有一些运营商会劫持 UDP53 转到自己的 DNS 返回。
也就是用户用任何 DNS 实际都是内部指定 DNS 返回结果。
解决办法可以在自由网络 自建非 53 端口的 DNS 服务 ，本地使用某转发服务获取结果。
可以使用 DNSmasq 搭建一个自定义转发 DNS 。

别的不说，浙江移动应该是对 udp53 端口无差别劫持了



请求任意 IP 的 53 端口都会被劫持

建议使用 tcp 查询或者 httpdns ，可以看我发帖记录。

@commoccoom 没用的，会叫你退网退费的！哈哈，移动就是屌

试试 Pcap DNSProxy

北京歌华实测任何 dns 都能用 联通 电信 移动都可以随便用

nslookup www.bing.com 114.114.114.114
服务器: public1.114dns.com
Address: 114.114.114.114

非权威应答:
名称: cn.a-0001.a-msedge.net
Addresses: 202.89.233.103
202.89.233.104
Aliases: www.bing.com


nslookup www.bing.com 219.141.136.10
服务器: BJDX-DJT-DNSCACHE
Address: 219.141.136.10

非权威应答:
名称: cn.a-0001.a-msedge.net
Addresses: 202.89.233.103
202.89.233.104
Aliases: www.bing.com


nslookup www.bing.com 202.106.0.20
服务器: c2-shenlujie-ns2
Address: 202.106.0.20

非权威应答:
名称: cn.a-0001.a-msedge.net
Addresses: 202.89.233.103
202.89.233.104
Aliases: www.bing.com


nslookup www.bing.com 8.8.8.8
服务器: google-public-dns-a.google.com
Address: 8.8.8.8

非权威应答:
名称: a-0001.a-msedge.net
Addresses: 204.79.197.200
13.107.21.200
Aliases: www.bing.com
www-bing-com.a-0001.a-msedge.net

@21grams 已经开始搞了，为了满足劫持后的可靠性，有些地方的 DNS 已经跑在 NFV 上面了，不强迫你们用 他们年终总结怎么写。
@yexm0 对，攻击流量也劫持了， google 应该是哭还是笑。

@KCheshireCat 因为工作业务关系，和移动有一些业务交集。移动有个服务，叫网络优化，工作原理是在本省建立缓存服务器，在省级 DNS 上，主动建立相关域名的解析指向，在本省范围内，对指定域名发起请求，全部指向指定的解析结果，以完善网络质量优化。各省移动都给各自的 NOC 下达过相应的指标，每年要对多少网站完成网络优化的合作等等。

至于 114 的劫持，实际上，你们 nslookup ip.dnspod.net 看到的结果，就是向权威 DNS 发起解析请求的服务器，你会发现，即便强制通过 114 或 4 个 8 向这个地址发起请求，返回的地址也一样，下面补张图就能说明一切：

再来张通过 TCP 方式的

@KCheshireCat 112.13.174.x 开头的是新浪自己在移动 IDC 部署的缓存服务器，加上网络优化，结果你懂的

@yexm0 深圳联通劫持这么多 DNS 这是干嘛呢

@xujif 如何强制走 TCP ，有什么能直接修改 win10 的方法？谢

@KCheshireCat 这个图我没有看出来浙江移动是怎么劫持 UDP 53 的？请详细说明一下，谢谢！

@xxxbi 请问北京歌华有线宽带的家庭宽带的拨号方式、网络架构和默认分配的 DNS 服务器是几个？分别是什么。谢谢！

@mytsing520 我艹，为什么通过浙江杭州电信 DNS 服务器和 114 的 DNS 服务器解析的 ip.dnspod.net 域名的对应 IP 是一样的呢？另外，您用宽带线路是哪个省的中国移动宽带呢？

@mytsing520 我怎么感觉移动是利用了类似 DNSMAQ 技术来实现 UDP 劫持的呢？

@bclerdx #29 很简单啊， 193.1.1.1 这个 ip 上没有 dns 服务，那这个 dns 响应是哪里来的呢？而且只要 9ms ，好奇的话你可查一下这个 ip 归属地在哪里

@KCheshireCat 你的意思是说如果浙江移动没有对 DNS 查询的 UPD 53 劫持的话，如果一个域名被一个没有 DNS 服务的 IP 去解析的话，应该是不会在 Answer Section 部分有解析出来相应的 IP 结果出来的，我理解的对么？否则的话，就是中国移动人为、且故意这么配置的。其目的是加速走内网处理，而减少对外网或跨网跨运营商的解析请求，从而减少跨网、跨运营商的流量结算费用？

@bclerdx http://www.114dns.com/node.html ，供参考
另外，前段时间在 V2 上爆出来的移动内部客服培训材料的帖子，应该对回答你的问题有帮助

@bclerdx 211.99.143.33 58.30.131.33

@bclerdx dhcp 无需拨号，网络架构就是都走电信。

@xxxbi 那你入户的是同轴电缆？歌华给你的设备是什么名称？

@xxxbi 多谢了。

从标题看应该是移动的网。

我这里好像都直接反代了。
用其他 DNS 得到的 IP 地址能 ping 通，但就是上不了，换成运营商自家的，得到的 IP 地址都是运营商旗下的 IP 。
据我的观察，主要是两个 IP 地址，一个是北京的，一个是深圳的，运营商的 DNS 将所有网站都解析到这两个 IP 上。 HTTPS 的网站竟然都能正常上，没报任何证书错误。
不知道是不是直接被反代了，所有网站流量都必须经过反代服务器过滤。
想想都觉得可怕。

现在代理都不太好用。