求助,疑似成都电信劫持公共 DNS,并且无法解析大量国外.org /.net /.co /.com.xx 等域名
tracedocting 2016-07-06 15:59:50 +08:00 7796 次点击这是一个创建于 3462 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近换了电信 100M 宽带(座标成都),然而近两天突然出现一些[非常用]的网站 DNS 无法解析,特别是国外的网站,根本无法访问,实在是很苦恼。排除墙的原因后(挂 Surge),发现这些都是查询 DNS 无结果。后来换成各个公共 DNS(8.8.8.8 、 114.114.114.114 、 119.29.29.29 、 223.5.5.5)也是同样的情况。
例如查询某 V 友的小站 com.com.sb (这域名实在好记)
使用四川电信自己的 DNS(61.139.2.69)查询,返回 SERVFAIL ,然后空记录,清空 DNS 缓存后,改为 119.29.29.29 查询,同样的结果。
http://i.imgur.com/UbIwToU.jpg
但是用 OpenDNS 的 5353 端口查询,又一切正常……
http://i.imgur.com/GmbJoEL.jpg
后来又用 114DNS 提供的 weather114 验证 ISP 是否劫持 114DNS 到自己的 DNS , dig whether.114dns.com @114.114.114.114
第一次返回 SERVFAIL ,第二次返回 127.0.0.1 (114.114.115.115 同样)
http://i.imgur.com/lYboTV4.jpg
似乎是电信劫持了各家公共 DNS ,但是之前只听过移动这么干……要真是这样,他自己的 DNS 好用就算了,关键是各种空包返回 NXDOMAIN ……太难用了。
但是 trace Google Public DNS 的路由,似乎看起来又没问题啊……
http://i.imgur.com/xQbQUW0.jpg
所以电信到底有没有劫持 DNS 到自己的 NDS 呢?
我用的是 Mac OS X 10.11.5 ,每次查询前都清空了 DNS 缓存,路由器是电信自带的光猫路由器。
现在这个问题导致很多网站都无法正常访问,实在是很苦恼,所以想请 V2EX 的各位大神帮我看看到底是什么问题?是我自己的设置问题还是电信那边的问题?如果是电信的问题的话,我可以投诉解决吗?那又该怎么做呢?小弟我非 IT 界,可能很多都不太懂,一切都是自己 Google 的,如果有什么不妥还请轻点拍砖。
非常感谢!!!!
第 1 条附言 2016-07-06 16:38:00 +08:00
现在突然又发现能解析 com.com.sb 了,但是问题还是存在……
例如 thisisinsider.com 、 www.checkgfw.com 、 bbc.io 、 www.cocomy.net 这些网站还是无法解析,
我知道这些网站大多被墙,可是这些站没有 DNS 污染吧,至少正常的 DNS 能解析出地址来吧……
例如 thisisinsider.com 、 www.checkgfw.com 、 bbc.io 、 www.cocomy.net 这些网站还是无法解析,
我知道这些网站大多被墙,可是这些站没有 DNS 污染吧,至少正常的 DNS 能解析出地址来吧……
第 2 条附言 2016-07-06 17:09:59 +08:00
把图附上来,
使用四川电信自己的 DNS(61.139.2.69)查询,返回 SERVFAIL
OpenDNS 的 5353 端口查询
114DNS 提供的 weather114 验证 ISP 是否劫持
trace Google Public DNS 路由
使用四川电信自己的 DNS(61.139.2.69)查询,返回 SERVFAIL
OpenDNS 的 5353 端口查询
114DNS 提供的 weather114 验证 ISP 是否劫持
trace Google Public DNS 路由
第 3 条附言 2016-07-06 17:33:09 +08:00
真 tm 精彩....现在连 v2ex.com 也解析不到了,要挂梯子,还要 force-remote-dns 才上得来
第 4 条附言 2016-07-06 23:46:09 +08:00
@linescape : ping 和 tracert 都是没有意义的,因为只有 53 端口才会被劫持,好用的测试方法是,找个不存在 dns 服务器的 IP >,然后 nslookup 查询 例如: nslookup www.baidu.com 12.34.56.78 如果这也返回了正常的解析结果,则铁定是 dns 劫持无误了
根据@linescape 的建议,已经确定成都电信对所有53端口的DNS查询进行劫持……
$ nslookup www.baidu.com 12.34.56.78 Server: 12.34.56.78 Address: 12.34.56.78#53 Non-authoritative answer: www.baidu.com canonical name = www.a.shifen.com. Name: www.a.shifen.com Address: 180.97.33.107 Name: www.a.shifen.com Address: 180.97.33.108  | 1 tracedocting OP 为什么图片都自动显示…… |
 | 2 DevineRapier 2016-07-06 16:05:38 +08:00 成都电信肉测,你提到的 com.com.sb 直接打开就 ok 了。确认不是代理的问题? |
| 3 tracedocting OP @DevineRapier 关掉代理,清空 DNS 缓存,还原网络设置,还是没办法解析这个域名…… |
 | 4 Oi0Ydz26h9NkGCIz 2016-07-06 16:12:56 +08:00 感觉不太可能吧。你看下是对所有 53 端口做了劫持,还是只针对某些公共 DNS 的 ip 做了劫持? 你试下 77.88.8.8 42.236.82.22 64.6.64.6 这三个不太引人注意的 DNS 会不会出现劫持? |
| 5 tracedocting OP @aruisi $ dig www.thisisinsider.com @77.88.8.8 ; <<>> DiG 9.8.3-P1 <<>> www.thisisinsider.com @77.88.8.8 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 14791 ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;www.thisisinsider.com. IN A ;; Query time: 1004 msec ;; SERVER: 77.88.8.8#53(77.88.8.8) ;; WHEN: Wed Jul 6 16:20:27 2016 ;; MSG SIZE rcvd: 39 |
 | 6 sxdubin 2016-07-06 16:18:02 +08:00 直接在你路由器后台 ping 试试~用来排除你电脑系统的问题~ 我在深圳用的 win10, 遇到和你类似的情况,后来原来是系统的问题~ 重置网络就好了. |
| 7 tracedocting OP @aruisi 还是 5353 端口查询一切正常 |
| 8 tracedocting OP @sxdubin 电信自带的光猫路由器没办法进 ssh 呢,还可以直接 ping 测试吗? |
 | 9 DreamXWay 2016-07-06 16:23:53 +08:00 1. 有条件的话拿一台 windows 笔记本回家试试, 排除个别电脑以及 Mac OS 的问题; 2. 我特别不信任电信光猫当路由器, 当然这是个无厘头的怀疑... |
 | 10 Artail 2016-07-06 16:24:07 +08:00 = =我能插个楼问下。。如果要用 5353 端口查询 DNS ,那么配置在系统设置里面应该是怎么配置? |
| 11 sxdubin 2016-07-06 16:24:09 +08:00 汗,例如大多数路由器 192.168.1.1 这个后台,一般路由器都提供 ping traceroute 的, TP-link ,飞讯...这些后台都可以的啊~不用 ssh~~~ |
| 12 sxdubin 2016-07-06 16:25:18 +08:00 或者用你手机 连你家 wifi 试试~主要是先看能排除你电脑的问题不? |
| 13 tracedocting OP @Artail 我也不知道 我是用 dig 命令查询的 |
 | 14 alect 2016-07-06 16:26:48 +08:00 看了下楼主的 traceroute 记录,第二跳是 100.64 内网 IP ? 楼主是大内网?没有分配公网 IP 的? 如果是请打 10000 号要公网 IP 后尝试。虽然可能并没什么卵用 |
| 15 tracedocting OP @sxdubin 电信这个自带路由器显然没有这个功能…… btw ,我刚刚试了下手机,也是同样的问题,例如 thisisinsider.com 这个网站,虽然被墙了,但是我已经把相关规则添加到了 Surge ,访问后提示 dns 无法解析…… |
 | 16 miyuki 2016-07-06 16:27:49 +08:00 格式选 Default 可以直接出图 |
| 17 tracedocting OP @alect 是的,电信分的内网 IP 给我,但是内网 IP 会因为 NAT 后影响到 DNS 吗? 我才装没几天,当时问了安装师傅,师傅说 3 天后打电话给 10000 申请公网 IP ,应该没问题。 |
| 18 tracedocting OP @miyuki 原来如此,感谢!! 默认是 Markdown 编辑器 第一次在 v2 发帖。 |
 | 19 withlqs 2016-07-06 16:31:59 +08:00 成都电信表示秒开+1 |
| 20 tracedocting OP @withlqs 我发现我现在也打得开这个网站了,但是其他很多域名还是无法查询 |
 | 21 penjianfeng 2016-07-06 16:39:00 +08:00 成都电信这大半年都是,经常 dns 挂掉,我博客其他地方包括我自己打开好好的,结果成都其他地区的 pc 就 dns 错误,我已经无力吐槽了 |
 | 22 kosenpai 2016-07-06 16:43:33 +08:00 成都电信, 119.29.29.29 ,解析没有问题。不过我是公网 ip 。 |
| 23 tracedocting OP |
 | 24 raysonx 2016-07-06 16:49:26 +08:00 楼主开 Wireshark 抓包对比一下 TTL 是否正常。 怀疑楼主的运营商劫持了 53 端口到自己的服务器,故意劣化质量。 |
| 25 tracedocting OP |
| 26 kosenpai 2016-07-06 17:10:41 +08:00  1 @tracedocting 可以的,没有问题 ; <<>> DiG 9.8.2rc1-RedHat-9.8.2-0.17.rc1.el6 <<>> cocomy.net @119.29.29.29 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 61500 ;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;cocomy.net. IN A ;; ANSWER SECTION: cocomy.net. 99 IN A 104.25.87.23 cocomy.net. 99 IN A 104.25.86.23 ;; Query time: 36 msec ;; SERVER: 119.29.29.29#53(119.29.29.29) ;; WHEN: Wed Jul 6 17:41:52 2016 ;; MSG SIZE rcvd: 60 |
| 27 tracedocting OP @kosenpai 马上打电话去申请公网 IP …… |
 | 28 fordoo 2016-07-06 17:12:47 +08:00 1 好像是电信 DNS 服务器的问题 [root@Anime ~]# nslookup com.com.sb 114.114.114.114 Server: 114.114.114.114 Address: 114.114.114.114#53 Non-authoritative answer: Name: com.com.sb Address: 162.159.209.10 Name: com.com.sb Address: 162.159.208.10 [root@Anime ~]# nslookup com.com.sb 61.139.2.69 Server: 61.139.2.69 Address: 61.139.2.69#53 ** server can't find com.com.sb: SERVFAIL [root@Anime ~]# nslookup com.com.sb 119.29.29.29 Server: 119.29.29.29 Address: 119.29.29.29#53 Non-authoritative answer: Name: com.com.sb Address: 162.159.208.10 Name: com.com.sb Address: 162.159.209.10 |
| 29 tracedocting OP |
 | 31 hard2reg 2016-07-06 17:21:24 +08:00 感谢楼主让我知道了一个有趣的网站~~ |
| 32 tracedocting OP |
 | 33 suliuyes 2016-07-06 17:56:10 +08:00 有时候好有时候坏。完美解决方案是啥? |
 | 34 dili 2016-07-06 18:28:46 +08:00 |
| 35 withlqs 2016-07-06 19:47:37 +08:00 后来提供的那几个网站,除了 bbc.io 之外都可以解析。 然后 bbc.io 挂上代理也不能解析出来。 ping.chinaz.com 和 ipip.net 的海外节点也解析不出来。 所以是不是 bbc.io 这个域名本身没做 DNS 解析? |
| 36 hard2reg 2016-07-06 21:45:02 +08:00 |
 | 37 zealic 2016-07-06 21:57:41 +08:00 61.139.2.69 一直都抽,最扯淡的是解析 .tv 域名有问题,早就弃用了 |
| 38 tracedocting OP @zealic 现在麻烦的是想用其他 DNS 也用不了…… |
 | 39 linescape 2016-07-06 22:26:17 +08:00 1 ping 和 tracert 都是没有意义的,因为只有 53 端口才会被劫持,好用的测试方法是,找个不存在 dns 服务器的 IP ,然后 nslookup 查询 例如: nslookup www.baidu.com 12.34.56.78 如果这也返回了正常的解析结果,则铁定是 dns 劫持无误了 |
| 40 tracedocting OP @linescape $ nslookup www.baidu.com 12.34.56.78 Server: 12.34.56.78 Address: 12.34.56.78#53 Non-authoritative answer: www.baidu.com canonical name = www.a.shifen.com. Name: www.a.shifen.com Address: 180.97.33.107 Name: www.a.shifen.com Address: 180.97.33.108 嗯,真的中招了,请问有解决办法吗?投诉电信,让他们把我添加到白名单?还是申请公网 IP ,听其他有公网 ip 同是成都电信的 v 友反应,他们的 dns 正常…… |
 | 41 bclerdx 2016-07-06 23:35:48 +08:00 记号~ |
 | 42 mind3x 2016-07-07 00:18:09 +08:00 @tracedocting 成都电信去年下半年开始就一直这样了 |
 | 43 mrjoel 2016-07-07 00:59:48 +08:00 正在 Ping whether.114dns.com [127.0.0.1] 具有 32 字节的数据: 来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128 来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128 来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128 来自 127.0.0.1 的回复: 字节=32 时间<1ms TTL=128 同成都电信。同被劫持。。每次优酷客户端关闭了 还在桌面右下角弹个广告(我不相信优酷会差这点广告位)。 |
 | 44 gpg 2016-07-07 01:03:57 +08:00 1 成都电信经过我的努力正在调整推送系统,他们的推送系统是没有白名单的,等升级吧 |
 | 46 AirSc 2016-07-07 01:07:10 +08:00 via Android 之前在成都的时候就一直这个样子了 |
| 47 linescape 2016-07-07 09:45:45 +08:00 @tracedocting 先找客服后举报,技术解决就只能装 dnsecrypt 这样的东西了,不过这东西也坑,慢而且国内网站全部解析在墙外 |
 | 48 martinicarey 2016-07-07 10:30:17 +08:00 成都电信,公网 IP ,无此问题。可自行设置 DNS ,解析正常。 乱填 DNS 无法访问百度。建议楼主申请公网 IP 。 61.139.2.69 经常解析出问题, 218.6.200.139 还勉强能用。为了 CDN 忍了。 Mac 设置 Resolver 手动判断个别网站的解析…… |
 | 49 Ellison 2016-07-07 11:12:33 +08:00 我成都一朋友也是,各种法解析 |
| 50 tracedocting OP @martinicarey 刚刚申请了公网 IP ,还是无解……依然存在劫持,我之前都以为只有移动才这么干!真是不要脸! |
 | 51 sfree2005 2016-07-07 15:05:01 +08:00 如果自己有 vps ,自己架设 DNS 之后设置端口为非默认端口,难度应该和自己玩 ss 差不多。 教程应该不难找,记得鸟哥 linux 教程不错 |
| 52 sfree2005 2016-07-07 15:18:51 +08:00 最后想了想 刚刚提到的方法 应该行不通,因为我好像看不到怎么在客户端改 DNS 端口 |
| 53 tracedocting OP 1 |
| 54 tracedocting OP @martinicarey 感谢!申请公网 IP 后几小时劫持消失! |
| 55 martinicarey 2016-07-07 22:37:20 +08:00 @tracedocting 不谢!看来是公网 IP 的问题。 |
 | 56 iBright 2016-07-21 09:58:11 +08:00 ; <<>> DiG 9.8.3-P1 <<>> @61.139.2.69 +trace qq.com ; (1 server found) ;; global otions: +cmd . 514985 IN NS j.root-servers.net. . 514985 IN NS k.root-servers.net. . 514985 IN NS l.root-servers.net. . 514985 IN NS m.root-servers.net. . 514985 IN NS root1.sc163.net. . 514985 IN NS root2.sc163.net. . 514985 IN NS a.root-servers.net. . 514985 IN NS b.root-servers.net. . 514985 IN NS c.root-servers.net. . 514985 IN NS d.root-servers.net. . 514985 IN NS e.root-servers.net. . 514985 IN NS g.root-servers.net. . 514985 IN NS h.root-servers.net. . 514985 IN NS i.root-servers.net. ;; Received 509 bytes from 61.139.2.69#53(61.139.2.69) in 38 ms com. 172800 IN NS a.gtld-servers.net. com. 172800 IN NS d.gtld-servers.net. com. 172800 IN NS b.gtld-servers.net. com. 172800 IN NS g.gtld-servers.net. com. 172800 IN NS k.gtld-servers.net. com. 172800 IN NS c.gtld-servers.net. com. 172800 IN NS h.gtld-servers.net. com. 172800 IN NS e.gtld-servers.net. com. 172800 IN NS l.gtld-servers.net. com. 172800 IN NS i.gtld-servers.net. com. 172800 IN NS f.gtld-servers.net. com. 172800 IN NS j.gtld-servers.net. com. 172800 IN NS m.gtld-servers.net. ;; Received 512 bytes from 192.36.148.17#53(192.36.148.17) in 185 ms qq.com. 172800 IN NS ns1.qq.com. qq.com. 172800 IN NS ns2.qq.com. qq.com. 172800 IN NS ns3.qq.com. qq.com. 172800 IN NS ns4.qq.com. ;; Received 256 bytes from 192.26.92.30#53(192.26.92.30) in 115 ms qq.com. 600 IN A 125.39.240.113 qq.com. 600 IN A 61.135.157.156 qq.com. 86400 IN NS ns3.qq.com. qq.com. 86400 IN NS ns4.qq.com. qq.com. 86400 IN NS ns1.qq.com. qq.com. 86400 IN NS ns2.qq.com. ;; Received 128 bytes from 182.140.167.157#53(182.140.167.157) in 5 ms 为什么会有这两个呢? . 514985 IN NS root1.sc163.net. . 514985 IN NS root2.sc163.net. |
 | 57 JesseLexin 2016-07-22 10:28:24 +08:00 @tracedocting 凡是 100.64.*.* 都是做了手脚的,遇到这种问题,请直接给工信部或者省一级的通管局写书面申述材料(语言要简练因为它网站限制了字数的,也不必附加这些技术证据),该方法全国 3 大运营商都适用,请大家相互转告。 |
Select Language
