这是一个创建于 2451 天前的主题,其中的信息可能已经有所发展或是发生改变。
查 dns 污染的时候发现了一个有趣的事情,不少奇怪的网站本地都解析到相同的 ip,本着好奇的心理对有限几个 404 网站做了个统计归纳,发现基本都在一个 ip 列表里 在这里发出来,不知道全不全
8.7.198.45 31.13.64.1 31.13.64.33 31.13.64.49 31.13.65.1 31.13.65.17 31.13.65.18 31.13.66.1 31.13.66.6 31.13.66.23 31.13.68.1 31.13.68.22 31.13.69.33 31.13.69.86 31.13.69.129 31.13.69.160 31.13.70.1 31.13.70.20 31.13.71.7 31.13.71.23 31.13.72.1 31.13.72.17 31.13.72.23 31.13.72.34 31.13.72.54 31.13.73.1 31.13.73.17 31.13.73.23 31.13.74.1 31.13.74.17 31.13.75.17 31.13.75.18 31.13.76.8 31.13.76.16 31.13.77.33 31.13.77.55 31.13.78.65 31.13.78.66 31.13.79.1 31.13.79.17 31.13.80.1 31.13.80.17 31.13.81.1 31.13.81.17 31.13.82.1 31.13.82.17 31.13.82.23 31.13.83.1 31.13.83.8 31.13.83.16 31.13.84.1 31.13.84.8 31.13.84.16 31.13.85.1 31.13.85.8 31.13.85.16 31.13.86.1 31.13.86.8 31.13.86.16 31.13.97.245 31.13.97.248 46.82.174.68 59.24.3.173 64.13.192.74 64.13.192.76 64.13.232.149 66.220.146.94 66.220.147.11 66.220.147.44 66.220.147.47 66.220.149.18 66.220.149.32 66.220.149.99 66.220.151.20 66.220.152.17 66.220.152.28 66.220.155.12 66.220.155.14 66.220.158.32 67.15.100.252 67.15.129.210 67.228.37.26 67.228.74.123 67.228.102.32 67.228.126.62 67.228.221.221 67.228.235.91 67.228.235.93 69.63.176.15 69.63.176.59 69.63.176.143 69.63.178.13 69.63.180.173 69.63.181.11 69.63.181.12 69.63.184.14 69.63.184.30 69.63.184.142 69.63.186.30 69.63.186.31 69.63.187.12 69.63.189.16 69.63.190.26 69.171.224.12 69.171.224.40 69.171.224.85 69.171.225.13 69.171.227.37 69.171.228.20 69.171.228.74 69.171.229.11 69.171.229.28 69.171.229.73 69.171.230.18 69.171.232.21 69.171.233.24 69.171.233.33 69.171.233.37 69.171.234.18 69.171.234.29 69.171.234.48 69.171.235.16 69.171.235.64 69.171.235.101 69.171.237.16 69.171.237.26 69.171.239.11 69.171.240.27 69.171.242.11 69.171.242.30 69.171.244.11 69.171.244.12 69.171.244.15 69.171.245.49 69.171.245.53 69.171.245.84 69.171.246.9 69.171.247.20 69.171.247.32 69.171.247.71 69.171.248.65 69.171.248.112 69.171.248.128 74.86.3.208 74.86.12.172 74.86.12.173 74.86.17.48 74.86.118.24 74.86.142.55 74.86.151.162 74.86.151.167 74.86.226.234 74.86.228.110 74.86.235.236 75.126.2.43 75.126.33.156 75.126.115.192 75.126.124.162 75.126.135.131 75.126.150.210 75.126.164.178 75.126.215.88 78.16.49.15 88.191.249.182 88.191.249.183 88.191.253.157 93.46.8.89 173.252.73.48 173.252.100.21 173.252.100.32 173.252.102.16 173.252.102.241 173.252.103.64 173.252.110.21 174.36.196.242 174.36.228.136 174.37.54.20 174.37.154.236 174.37.175.229 199.16.156.7 199.16.156.40 199.16.158.190 199.59.148.14 199.59.148.97 199.59.148.140 199.59.148.209 199.59.149.136 199.59.149.244 199.59.150.11 199.59.150.49 205.186.152.122 208.43.170.231 208.43.237.140 208.101.21.43 208.101.48.171 208.101.60.87 243.185.187.39 话说这玩意有啥用么
29 条回复 2019-06-14 22:47:45 +08:00
 | 1 zanzhz1101 OP 看了下貌似可以用在 smartdns 的 blacklist-ip 里 |
| 2 zanzhz1101 OP 看了下好像还真是某 list ? |
 | 3 zjnxswy 2019-01-29 22:33:31 +08:00 路由黑洞 |
| 4 zanzhz1101 OP @zjnxswy #3 这些感觉是被抢答的 ip,确实是黑洞 |
 | 5 580a388da131 2019-01-29 22:46:16 +08:00 小扎默默的承受着这些 |
 | 6 hhhsuan 2019-01-29 22:50:39 +08:00 via Android 我记得最早的时候 Chinadns 就是通过这个来判断是不是被污染 |
 | 7 ZRS 2019-01-29 23:05:06 +08:00 抢答的 IP 开始是随机 IP,后来好像是因为经常造成困扰,改成了 Twi 和 fb 的数据中心地址,正好也都在路由黑洞里一举两得。 |
 | 8 q158073378252010 2019-01-29 23:08:35 +08:00 楼主怎么抓的? |
 | 9 chotow 2019-01-29 23:33:03 +08:00 via iPhone 我好奇为什么指向了脸书? |
 | 10 sutra 2019-01-30 00:27:58 +08:00 我转发一下我自己的经验 Tweet 吧:一:如果你某非 Facebook 旗下品的域名被解析到了於 Facebook 的 IP 地址,那多半是 GFW 域名行 DNS 投毒致的。 |
 | 11 0ZXYDDu796nVCFxq 2019-01-30 01:50:51 +08:00  2 @chotow 因为发送给这些目标的数据包在某个地方直接就扔了 可能某些地方对这个列表的路由做了优化,提升性能 |
 | 12 mengyang624 2019-01-30 04:09:08 +08:00 2 |
| 13 zanzhz1101 OP @580a388da131 #5 这些应该是直接被黑洞了 @ZRS #7 是的,查看解析历史和正在解析之后发现从 2017 年 10 月的某一天这些 ip 就在默默承受这些了 XD @q158073378252010 #8 dig @chotow #9 都已经被黑洞了吧 @sutra #10 真的,发现一个 ip 同时解析到 google/fb/p**n 的时候感觉挺有意思的 @gstqc #11 感觉就这么多了。。。全国都这样黑洞的话也确实可能需要多个均衡一下? 这几个是重复率高的,不过我觉得有 200 个,我只测出来 197 个哈哈 |
 | 14 carlosevo 2019-01-30 08:14:12 +08:00 via iPhone @mengyang624 补充:硬核版( CLI )是 dnscrypt-proxy |
| 15 zanzhz1101 OP |
 | 16 mosliu 2019-01-30 08:30:30 +08:00 我一个被墙的域名就是这样的 因此试一下也就知道 墙内 连 8.8.8.8 都被代换了。。 |
| 17 zanzhz1101 OP @mosliu #16 解析的是这个表里的么哈哈,8888 我这里延迟 198,tracert 走美西 8844 延迟 45,走香港 |
| 18 zanzhz1101 OP @sutra #10 话说好像 13 是爱尔兰某个段 |
 | 19 uuair 2019-01-30 14:49:20 +08:00 @mengyang624 #12 mac 电脑 用什么啊??? simpleDnsCrypt 只对 windows 啊 |
 | 20 mengyang624 2019-01-30 14:55:28 +08:00 |
 | 21 pragmatwice 2019-01-30 20:28:10 +08:00 via Android Wikipedia-zh 对此有比较详细的记录,位于「域名服务器缓存污染」条目。 |
| 22 zanzhz1101 OP @pragmatwice #21 我仔细查看 Wikipedia 的名单后发现只有 10 个是重复 ip,列举的 ip 范围内有大量国内 ip 地址,其他部分 ip 的确存在于污染列表,但大部分都是小网站或者用户少的网站,被解析的也大部分是二级域名,还有一些 ip 地址从去年八月份之后就没有再启用过,推测进行了负载分级,总的来说上面的大部分不是污染 ip |
 | 23 Kobayashi 2019-06-10 17:06:24 +08:00 @zanzhz1101 chinadns 早就玩儿过这个方案了,根本没用。现在策略不是扔给你特定的无效 IP,而是有可能随机扔给你一个不相关网站的有效 IP。 |
| 24 zanzhz1101 OP @Kobayashi #23 看到回复后我又去测试了一下,没有变化,主要 blacklist 大概 200 个,总库大概 1300 左右 |
| 25 Kobayashi 2019-06-14 11:28:17 +08:00 via Android |
| 26 zanzhz1101 OP @Kobayashi #25 否,目前依旧是返回 Facebook / Twitter / Softlayer 的某些 IP 段,我的模型是收敛的 |
| 27 zanzhz1101 OP |
| 28 Kobayashi 2019-06-14 17:20:18 +08:00 你当我没说过。 |
| 29 zanzhz1101 OP @Kobayashi #28  报道出了偏差你要负责任的 |
Select Language