223.5.5.5 dns dotnet.microsoft.com 网站返回证书是 djfidicjmwos.com 的 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DNS 参考资料

› List of DNS Record Types

› dig 使用说明

› djbdns

› DNS Parameters

› dnslib for Python

这是一个创建于 373 天前的主题，其中的信息可能已经有所发展或是发生改变。

https://imgur.com/HoLxXkH

https://imgur.com/AGZoYb0

在腾讯云的机器查询也是返回也是同 C 段的 IP

~$ nslookup dotnet.microsoft.com 223.5.5.5
Server:		223.5.5.5
Address:	223.5.5.5#53

Non-authoritative answer:
dotnet.microsoft.com	canonical name = dotnetwebsite.azurefd.net.
Name:	dotnetwebsite.azurefd.net
Address: 156.251.239.114
dotnetwebsite.azurefd.net	canonical name = firstparty-azurefd-prod.trafficmanager.net.
firstparty-azurefd-prod.trafficmanager.net	canonical name = shed.dual-low.part-0045.t-0009.t-msedge.net.
shed.dual-low.part-0045.t-0009.t-msedge.net	canonical name = part-0045.t-0009.t-msedge.net.
Name:	part-0045.t-0009.t-msedge.net
Address: 2620:1ec:bdf::73
Name:	part-0045.t-0009.t-msedge.net
Address: 2620:1ec:46::73

18 条回复 • 2024-01-05 09:39:27 +08:00

1

LoliconInside

2023-12-15 12:24:32 +08:00

https://community.cloudflare.com/t/china-isp-massive-domain-name-hijacking/590867/5

2

lovelylain

2023-12-15 12:40:53 +08:00 via Android

@LoliconInside 以为正经反馈问题的 issue 里面网址会很正经的我在公司打开了里面的一个网址，并没有看到 hijacking ，而是赶紧关闭了这个网页

3

BaffinLee

2023-12-15 12:42:37 +08:00

看看是不是污染了 https://dns.must.cool/?domain=dotnet.microsoft.com

4

vmebeh

2023-12-15 12:43:31 +08:00 via iPhone

经常在被劫持的网页证书上看到这个域名
有时换掉运营商的 dns 即可解决

5

gentrydeng

2023-12-15 12:47:36 +08:00 via Android

这是之前就出现过的中间人攻击：/t/656367

6

faceair

2023-12-15 12:47:59 +08:00

可能是 udp 劫持，试试 dig dotnet.microsoft.com @223.5.5.5 +tcp

7

gentrydeng

2023-12-15 12:48:34 +08:00 via Android

https://www.v2ex.com/t/656367

8

0o0O0o0O0o

2023-12-15 12:57:02 +08:00

kdig +tls AAAA dotnet.microsoft.com @223.5.5.5

9

kkk123

OP

2023-12-15 12:59:47 +08:00

@faceair 截图是本地的 adguardhome, 上游是 tls://223.5.5.5:853 . 把阿里的 DNS 去掉清缓存就正常了

10

faceair

2023-12-15 13:06:20 +08:00

@kkk123 那确实像是阿里云的 DNS 结果被污染了一会儿

11

wdlth

2023-12-15 13:11:11 +08:00

用阿里 DNS 的 DOH 测试了，有时会返回 156.251 开头的 IP ，应该是阿里 DNS 某台出口的查询被劫持了。

12

LoliconInside

2023-12-15 13:30:17 +08:00

@lovelylain hhhhhh 我也没仔细看，刚发现

13

wdlth

2023-12-15 13:32:17 +08:00

发现 114DNS 也有这种情况

14

kkk123

OP

2023-12-15 13:34:27 +08:00

@wdlth 刚还去看 114 有没有 tls doh 之类呢 😃 看样子 114 是准备老本吃到死了

15

gentrydeng

2023-12-15 13:42:33 +08:00

#5 #7 搞错了，不是同一个问题。

应该是阿里 DNS 某个出口被劫持了，而且只有 IPv4 DNS 有问题，通过 IPv6 DNS （ 2400:3200::1 ）查询是没有问题的。

# dig @2400:3200::1 +noall +answer dotnet.microsoft.com
dotnet.microsoft.com. 1 IN CNAME dotnetwebsite.azurefd.net.
dotnetwebsite.azurefd.net. 1 IN CNAME firstparty-azurefd-prod.trafficmanager.net.
firstparty-azurefd-prod.trafficmanager.net. 1 IN CNAME shed.dual-low.part-0022.t-0009.t-msedge.net.
shed.dual-low.part-0022.t-0009.t-msedge.net. 1 IN CNAME part-0022.t-0009.t-msedge.net.
part-0022.t-0009.t-msedge.net. 1 IN A 13.107.213.50
part-0022.t-0009.t-msedge.net. 1 IN A 13.107.246.50

16

cubecube

2023-12-15 16:54:56 +08:00

所以，谁劫持的！

17

miaomiao888

2023-12-18 09:13:26 +08:00

之前某数字浏览器就默认启用了跳过证书错误，搭配这个食用的话是不是效果最佳呀。

18

shuax

352 天前

遇到同样问题了

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 2961 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 25ms · UTC 13:12 · PVG 21:12 · LAX 05:12 · JFK 08:12
Developed with CodeLauncher
♥ Do have faith in what you're doing.