电信用1.1.1.1做dns，大部分域名解析出来的ip都是反炸ip

emptysuns

现在直接访问
http://1.1.1.1
就是跳到反炸界面，前几天的新闻了

这两天访问我两个流量不是特别大的网站提示反炸
我以为被污染了，结果itdog上测了一下结果正常，那我就认为是地区dns污染

后来指定dns服务器测了一下我本地电信运营商的地区dns也没有反炸，这就很奇怪了，我dns解析没问题，可是一访问还是反炸
后面排查下找到罪魁祸首，是openwrt的dnsmasq的一个上游dns我设置的1.1.1.1，这个dns服务器被污染了

拿hostloc.com举例，地图上绿色的部分都是被污染的地区，暂时看到电信才会被污染，其他两家没看到
红色框里是被污染的反炸ip  182.43.124.6

https://www.itdog.cn/dns/hostloc.com


而换成114、阿.里dns或者我本地运营商的dns都没事只有1.1.1.1有问题

mdn

擦

Fightlee

是1.1.1.1进去了

雪丫鬟

丫鬟建议你用101.101.101.101。绝对不会出卖你的信息。

emptysuns

Fightlee 发表于 2023-10-10 00:49
是1.1.1.1进去了

1.1.1.1确实进去了，是80端口，dns查询用的udp 53端口

电信大部分区域解析出来的ip还是正常的，只有上面绿色的部分解析域名都是反炸ip

wwbfred

是的，十一左右开始的，1.1.1.1解析的所有域名都有可能被污染到182.43.124.6，就连baidu.com也不例外。
这个不是运营商的路由劫持，就是G|FW返回的虚假IP，因为后续真实的数据包会到达。现在应该是北京和广州的电信出口部署了这个规则，上海出口和移动联通没有部署，不知道后续会不会统一。
现在网上搜到的都是http污染的案例，还没人提53端口的DNS污染，按理说这个影响更大。有需求的可以先用1.0.0.1或是1.1.1.2，这两个暂时没有污染。

cwmz

doh，dot不就好了

笑花落半世琉璃

cwmz 发表于 2023-10-10 19:15
doh，dot不就好了

感觉时不时会抽风出毛病，这玩意儿

wwbfred

cwmz 发表于 2023-10-10 19:15
doh，dot不就好了

很多人不愿用DOH，RTT太长了。TCP握手，TLS握手，HTTP握手，然后才是DNS查询，整个流程下来耗时翻好几倍，尤其是这种境外DNS解析个地址得半秒多。中间再给你丢个包，你就偷着乐去吧。

sf5z20101

我是用腾讯的dns+用adguard home自建的doh