首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
拉钩
V2EX  ›  问与答

求推荐靠谱的防 dns 污染方案

  •  1
     
  •   whatsmyip · 226 天前 · 6486 次点击
    这是一个创建于 226 天前的主题,其中的信息可能已经有所发展或是发生改变。

    入了一个 Google Home,需要配置路由器全局,用的树莓派

    也用 redsocks 转发了流量

    然而,DNS 解析这一块还没解决,结果老是被污染 返回了一堆 fb 的 ip

    试了一些方案,试图绕过坑爹的 UDP

    henices/Tcp-DNS-proxy 这个,似乎是基于 TCP 协议,但是不知道为什么,访问日志里依旧出现 69.171.247.32 这种 IP

    还试了腾讯的 httpdns,吹的天花乱坠,但是返回结果依旧是被污染的

    还剩下一个 dns.google.com 基于 https,理论上没有问题,可是没有找到转换的代码

    要是没有其他方案的话,就要自己造轮子了。。。

    第 1 条附言  ·  226 天前
    解决啦

    问题在于 home 使用了内置的 DNS,所以无论我在路由器上怎么设置都无效

    转发 53 端口流量,强制走路由器 DNS,可以解决这个问题

    ```bash
    iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5353
    iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 5353
    ```
    第 2 条附言  ·  137 天前
    看来 DNS over HTTPS ( DoH )是未来的趋势啊,浏览器已经在开始原生支持了,期待 Chrome 的更新。

    图解基于 HTTPS 的 DNS

    http://www.infoq.com/cn/articles/a-cartoon-intro-to-dns-over-https
    53 回复  |  直到 2018-06-27 12:21:16 +08:00
        1
    Cipool   226 天前 via Android   ♥ 1
    直接换用位于国内的无污染 DNS 试试
    @googlehosts #防污染 DNS
    主要服务器:140.143.226.193 (非实时查询上游,5 分钟缓存)
    备用服务器:120.132.13.50 (实时查询上游,无缓存)
        2
    whatsmyip   226 天前
    @Cipool 我在教育网,试过中科大的,no luck
        3
    Love4Taylor   226 天前 via Android   ♥ 1
    如果你到 Google Public DNS 不丢包 不被完全劫持的话 可以试试 chinadns2, 利用 EDNS 防抢答...
        5
    rosu   226 天前 via Android
    有点疑问,既然是全局,为什么还会被污染?
        6
    whatsmyip   226 天前
    @rosu 网络所在层不一样,先解析得到 IP,然后才转发
        7
    hzqim   226 天前   ♥ 1
    假设你用的是 OpenWRT,而且已经有了 socks5 ;
    来一个 dns2socks 走 socks5 向 8.8.8.8 询问 ip,还支持 CDN。
    采用支持 regex 的 dnsmasq 通过关键字(而不是域名)走 dns2socks5 进行解析,国内的域名走 ISP 分配的 DNS 解析,因为免去了维护网址的步骤,特方便。
    这个方案,只要 socks5 能通就能正确解析,若 socks5 不通,防污染也失去了意义。

    目前最满意的方案!
        8
    rosu   226 天前 via Android
    @whatsmyip 这样子的话...不是和没有梯子没什么区别吗?不知道我有没有理解错。

    因为 DNS 本身也会被投毒的,如果不在本地 PAC 做判断,DNS 也不一定能返回正确结果给你的吧?
        9
    LazyZhu   226 天前   ♥ 1
    @hzqim
    还有一种方法
    只要 DNS 支持 ECS( https://en.wikipedia.org/wiki/EDNS_Client_Subnet),就可以指定 ECS 为代理 IP 也可以获得最好的解析.
        10
    Cipool   226 天前 via Android
    @whatsmyip 中科大支持 5353 端口解析
    我发的那两个支持 2333 端口解析
    换用特殊端口应该可行吧
        11
    t123yh   226 天前 via Android   ♥ 1
        12
    hzqim   226 天前
    @LazyZhu #9 谢谢指点,在你身上学到很多,感恩!
        13
    chotow   226 天前 via Android
    歪个楼,为什么被污染的,都会解析到 FB ?
        14
    whatsmyip   226 天前
    @Cipool 重置了一下,依旧。。。
        15
    songz   226 天前   ♥ 1
    树莓派弄个 pi hole
        16
    xiaozecn   226 天前 via Android   ♥ 1
    @rosu 印象里这种都是内置 8.8.8.8,而不是用路由器分配的。所以几种路由器插件都有一个 DNS 劫持功能
        17
    EsWann   226 天前 via Android   ♥ 1
    纯净无污染 DNS: https://pdomo.me
        18
    bazingaterry   226 天前 via iPhone   ♥ 1
    GitHub 搜 overture
        19
    chenyx9   226 天前 via Android   ♥ 1
    我只是推断,不敢肯定。很可能如 16 楼所讲需要劫持 8.8.8.8 到路由,我的 Chromecast 就是这么干的。
        20
    maowu   226 天前 via Android   ♥ 1
    8.8.8.8 支持 tcp 嘛,考虑一下自己劫持 dns 查询丢到隧道发出去
        21
    ysc3839   226 天前 via Android
    @whatsmyip no luck 是什么意思?还是被污染?
        22
    isbase   226 天前 via Android   ♥ 1
    ChinaDNS
        23
    zhengzhou518   226 天前
    @LazyZhu 哥们你说的这种方式是否有设置的视频教程啊,对于新手来说
        24
    wzw   226 天前
    哪个域名被污染了, 我怎么很久没这样的感觉了
        25
    jasonyang9   226 天前
    @rosu #8 是的啊,各个层面都可以干扰你
        26
    keramist   226 天前 via Android   ♥ 1
    前端加个 k2 刷 padavan 强制路由解析搞定
        27
    lbp0200   226 天前 via Android   ♥ 1
    PRCDNS
    目前正在搞优化版
        28
    catinred   226 天前   ♥ 1
        29
    HandSonic   226 天前   ♥ 1
    现成的方案太多了啊,dnsproxy、DNSCrypt、Pcap_DNSProxy、ChinaDNS 等等……
        30
    des   226 天前 via Android
    @chotow 同问,是不是干掉这些就好了
        31
    jhytxy   226 天前 via iPhone   ♥ 1
    我记得 koolshare 的固件里都集成好了的...开箱即用
        32
    whatsmyip   226 天前
    @xiaozecn
    @chenyx9
    @keramist

    确实是因为 home 内置了 DNS 导致我在路由器上怎么设置都不行,而手机和电脑明明都是可以的

    强制转发 53 端口流量,解决了这个问题

    ```bash
    iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
    iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
    ```
        33
    whatsmyip   226 天前
    @Cipool 你给的 DNS 应该是可以的,问题在于 home 内置了 DNS,没有用路由器的设置
        34
    whatsmyip   226 天前
    @LazyZhu 这个很给力
        35
    whatsmyip   226 天前
    @hzqim 这个我找到的文档都没有。。。
        36
    whatsmyip   226 天前   ♥ 1
    @ysc3839 对,home 用了内置的 DNS,路由器上设置的无效
        37
    ETiV   226 天前   ♥ 1
    https://1.1.1.1

    前两天不是新出了个吗~
        38
    whatsmyip   226 天前   ♥ 1
    @chotow
    @des

    不一定是 fb,有时候是 twitter,感觉是随机,之前就被指到了国外某私人服务器

    我记得 chinadns 似乎就是这个原理?发现给出了错误 ip 就丢弃这个

    但是 现在一直在升级,很难预先知道返回的是不是正确的
        39
    presoul   226 天前 via Android
    用 cloudflare websocket 翻墙有过解析到 fb
    一般没感觉过劫持~
        40
    feather12315   226 天前 via Android
    推荐这个教程,直接全局 UDP 流量
    https://www.zfl9.com/ss-redir.html
        41
    lbp0200   226 天前
    https://github.com/aarond10/https_dns_proxy
    这个应该是最符合你的解决方案了
        42
    des   226 天前 via Android
    @whatsmyip 原来是只有固定四个,现在随机的池子多吗?
        43
    hicdn   226 天前
    https://github.com/aa65535/openwrt-dns-forwarder + https://github.com/aa65535/openwrt-chinadns
    稳定运行一年左右了,自动区分境内外地址, ss+dns-forwarder+chinadns

    下面是作者几年前写的方案 @aa65535
    https://sourceforge.net/p/openwrt-dist/wiki/DNS/
        45
    faicker   226 天前
    @faicker 支持 cdn,解决了 twitter 返回 fb 地址这样的问题。配合 dnscrypt-proxy。
        46
    tzungtzu   208 天前
    请问楼主你的 calendar 可以正常使用不,我的好像有问题,别的一般问题可以正常使用。
        47
    whatsmyip   207 天前
    @tzungtzu 我没有用到这个功能。。。应该没有问题吧
        48
    tzungtzu   207 天前
    @whatsmyip 你一般用哪些功能呀~
        49
    whatsmyip   202 天前
    @tzungtzu v2 的提醒功能似乎有点问题。一般就是 "Hey Google, play some music"、"Hey Google, news today",最近在折腾跟米家互动
        50
    tzungtzu   202 天前
    @whatsmyip 我现在也是 music 为主, 连 yeelight 是不是米家要用美国或者新加坡服务器?
        51
    whatsmyip   202 天前
    @tzungtzu 这个应该无所谓吧,就是延迟高点
        52
    wzw   171 天前
    @Cipool #1 140.143.226.193 这个 dns 谁做的呀
        53
    Cipool   171 天前 via Android
    @wzw 已经注明了 tg 群组 @googlehosts 的维护者
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2187 人在线   最高记录 4019   ·  
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.1 · 25ms · UTC 14:38 · PVG 22:38 · LAX 06:38 · JFK 09:38
    ♥ Do have faith in what you're doing.
    沪ICP备16043287号-1