V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hadami
V2EX  ›  DNS

114dns 也开始劫持用户 dns 了

  •  
  •   hadami · 41 天前 · 7008 次点击
    这是一个创建于 41 天前的主题,其中的信息可能已经有所发展或是发生改变。

    114.114.114.114 似乎开始测试劫持系统了

    ping 域名返回 Ping abc.test.com [69.167.164.199]

    其他 dns 都正常,这应该是在测试接入反诈骗系统

    第 1 条附言  ·  41 天前
    现在已经恢复了,下面很多人说也可能是运营商劫持,但是如果运营商的话它自己的 dns 反而是正常的就很奇怪

    这个事情吊诡的是它劫持到了 abc.test.com 这明显是个测试域名,后续应该会劫持到正式域名的,我会持续关注这个事情
    50 条回复    2024-06-04 09:15:10 +08:00
    hefish
        1
    hefish  
       41 天前
    应该指向哪儿啊?
    Shiroka
        2
    Shiroka  
       41 天前 via iPhone
    虽然我也不喜欢 114dns ,但这个域名设置如此,换其他 dns 也是一样的解析结果

    https://dns.google/resolve?name=v2ex.test.com&type=A
    Jack927
        3
    Jack927  
       41 天前
    nslookup abc.test.com 223.5.5.5
    服务器: public1.alidns.com
    Address: 223.5.5.5

    非权威应答:
    名称: abc.test.com
    Address: 69.167.164.199


    nslookup abc.test.com 8.8.8.8
    服务器: dns.google
    Address: 8.8.8.8

    非权威应答:
    名称: abc.test.com
    Address: 69.167.164.199


    nslookup abc.test.com 1.1.1.1
    服务器: one.one.one.one
    Address: 1.1.1.1

    非权威应答:
    名称: abc.test.com
    Address: 69.167.164.199

    有没有一种可能就是这个结果。
    hadami
        4
    hadami  
    OP
       41 天前
    @Shiroka 我说的是其他域名,跟普通的 dns 污染不一样
    hefish
        5
    hefish  
       41 天前   ❤️ 3
    我高考语文没及格。。。硬伤啊。
    hadami
        6
    hadami  
    OP
       41 天前
    @Jack927 clm37.click 你试试这个域名 114dns 会解析到 abc.test.com ,其他 dns 解析都正常,abc.test.com 应该就是在测试劫持的目的域名
    cleanery
        7
    cleanery  
       41 天前
    114 由于是 udp 加上知名度高 所以经常被运营商劫持
    hadami
        8
    hadami  
    OP
       41 天前
    @cleanery 不太像运营商劫持,运营商劫持都是跳转到反诈页面,这个跳转到了 abc.test.comabc.test.com 后面应该会更换成 114 他们自定义的页面
    a33291
        9
    a33291  
       41 天前
    之前遇到过访问某 fq 官网被劫持,换到 1111 才正常
    cyaki
        10
    cyaki  
       41 天前
    如果被劫持到反诈骗页面, 有何办法呀
    hadami
        11
    hadami  
    OP
       41 天前   ❤️ 1
    @cyaki 换阿里 dns ,暂时还没发现有劫持
    Goooooos
        12
    Goooooos  
       41 天前
    @hadami

    没有吧?

    > clm37.click
    Server: public1.114dns.com
    Address: 114.114.114.114

    DNS request timed out.
    timeout was 2 seconds.
    DNS request timed out.
    timeout was 2 seconds.
    Non-authoritative answer:
    Name: ns-mainweb.5338.org
    Address: 62.204.54.79
    Aliases: clm37.click
    ns-mainweb2.5338.org
    yuzo555
        13
    yuzo555  
       41 天前
    测了下你这个域名 clm37.click
    联通移动没有这个现象,电信使用运营商 DNS 也正常,电信使用 114 DNS 全国大部分地区都 CNAME 到 abc.test.com

    结合这个域名是 5.31 新注册的,我感觉某种缓存的可能性比较大
    wcnmm
        14
    wcnmm  
       41 天前
    114 以前就有配合运营商劫持的黑历史吧 https://www.landiannews.com/archives/18431.html
    hadami
        15
    hadami  
    OP
       41 天前
    @yuzo555 缓存不太可能会 解析到 abc.test.com ,缓存一般都是空解析
    hadami
        16
    hadami  
    OP
       41 天前
    @Goooooos 我测了一下,主要是电信下面使用 114 会劫持到 abc.test.com ,应该还是 114 自己在测试它的劫持系统
    Goooooos
        17
    Goooooos  
       41 天前
    我没电信网络,不太清楚
    Huelse
        18
    Huelse  
       41 天前
    你这纯个人环境得出的结论完全不靠谱,楼上提到其背景和历史来证明现在的结论更是诡辩
    hadami
        19
    hadami  
    OP
       41 天前
    @Huelse
    ![QQ 截图 20240603093140.png]( https://krseoul.imgtbl.com/i/2024/06/03/665d1d6fcad18.png)
    ![QQ 截图 20240603093208.png]( https://krseoul.imgtbl.com/i/2024/06/03/665d1d6fc8efb.png)

    itgou 可以指定 dns 测解析,显然不是个人环境得出的结论
    Aicnal
        20
    Aicnal  
       41 天前 via iPhone
    我从来不用 114 (狗头 我自建了一个 dns 缓存服务器 用来缓存 8.8.8.8 和 1.1.1.1 的解析结果,效果还可以
    Huelse
        21
    Huelse  
       41 天前
    hadami
        22
    hadami  
    OP
       41 天前
    @Huelse 使用连续 ping ,多看几个节点
    somebody1
        23
    somebody1  
       41 天前
    @hadami #16

    你这个 16 楼市怎么得出结论的,电信会劫持,不应该是电信的问题吗,怎么就 114 的问题了。
    hadami
        24
    hadami  
    OP
       41 天前
    @somebody1 电信只是使用 114dns 会劫持,其他所有 dns 都不会劫持难道还能说是电信劫持嘛,而且电信要劫持这个域名,自己运营商的 dns 反而是正常的也不合理啊
    somebody1
        25
    somebody1  
       41 天前   ❤️ 7
    我是业内人员,先说结论
    114 会劫持 dns ,114 会劫持 dns ,114 会劫持 dns

    首先,不止 114 ,大的自建 dns 都必须有这个功能,有人会跟你对接的,你咬死不搞第二年还能不能开着这个 dns 都不好说了。
    出发点是反诈,目前的整体使用场景也是反诈,越线的事情都是防火墙在搞,民间 dns 搞越线很容易泄露。
    楼主的所有证据都证明不了啥,不论是不同的运营商,还是不同的地点,说明不了是 114 劫持的。运营商也一样能劫持,效果和 114 劫持一摸一样,现有的证据排除不了运营商。
    somebody1
        26
    somebody1  
       41 天前
    @hadami #24
    如果是 114 劫持,跟运营商无关,所有的网络环境返回的是一样的结果,楼上有其他运营商测试的结果,是正常的。
    zmaplex
        27
    zmaplex  
       41 天前
    udp 包,在网络链路任何一个节点都能修改,之前也自建过 DNS 一天查询量 8 千万,总有用户投诉我们劫持 dns 插入广告,真的无语了。大部分就是三种:

    第一:DNS 服务器递到上游 DNS 服务器链路途中被篡改
    第二:DNS 到用户之间的链路途中被篡改
    第三:DNS 服务器本身劫持

    具体是不是 114 的锅还是不要张口就来。

    --------------------------------------------------------
    nslookup clm37.click 114.114.114.114
    服务器: public1.114dns.com
    Address: 114.114.114.114

    非权威应答:
    名称: ns-mainweb.5338.org
    Address: 172.247.129.109
    Aliases: clm37.click
    ns-mainweb2.5338.org
    hadami
        28
    hadami  
    OP
       41 天前
    @zmaplex 现在已经好了,不知道是不是 114 官方人员看到了,没有劫持到 abc.test.com 的现象了
    itakeman
        29
    itakeman  
       41 天前 via Android
    18 楼简直贻笑大方,劫持都是随机劫持。经典那句:别人有就是不代表就有,别人拿证据他装看不到:“我看不到,看不到,看不到”,他没有就是没有。

    那么容易给你抓马脚,为什么有些 dns 半夜或者随机某地劫持呢?

    这时候经典的来了:我怎么就没遇到呢?哦,你的问题
    zmaplex
        30
    zmaplex  
       41 天前
    @hadami 下次记得附带 traceroute 114.114.114.114 记录,一次篡改的时候,一次正常的时候。
    david98
        31
    david98  
       41 天前
    1. 114 会帮运营商搭建和维护 dns 集群和高仿集群的
    2. 运营商会搞这玩意 我碰见过 打电话投诉网络有问题 回复是正在测试设备中 弄错了
    mohumohu
        32
    mohumohu  
       41 天前
    看这么多楼下来居然没人提到用 nslookup whether.114dns.com 114.114.114.114 域名就可以测试 114 是否被运营商劫持(被劫持返回结果是 127.0.0.1)。
    Malenia
        33
    Malenia  
       41 天前
    前几周我就想发帖讨论阿里的 doh 都被污染这事了
    我这 tcp/udp 的 dns 填任何国内外的都被劫持成本地 dns ,
    连 doh 的阿里 dns 都污染到反诈 ip ,无论 adguard 日志还是用 q 都能复现,
    我现在已经删掉所有阿里相关的 dns 了
    K8dcnPEZ6V8b8Z6
        34
    K8dcnPEZ6V8b8Z6  
       41 天前
    @Aicnal 国内带 cdn 的网站不会被绕路吗
    iSecret
        35
    iSecret  
       41 天前
    刚好看到这个帖子提到 53 端口开放校验 /t/1046376
    Aicnal
        36
    Aicnal  
       41 天前
    @K8dcnPEZ6V8b8Z6 这个我倒没注意 不过解析缓存足够了其实速度还是可以的 至少是无感知了
    mingtdlb
        37
    mingtdlb  
       41 天前
    v2 上有个帖子 https://www.v2ex.com/t/482394 ,走 53 端口解析的 dns 都说会被运营商劫持
    v2tudnew
        38
    v2tudnew  
       41 天前
    @mohumohu 可能、大概谷歌也劫持了?🤣 https://dns.google/query?name=whether.114dns.com
    mohumohu
        39
    mohumohu  
       41 天前
    @v2tudnew 不是这么用的,只有用 114dns 才不会解析出 127.0.0.1
    Huelse
        40
    Huelse  
       41 天前
    @itakeman 你也是蛮搞笑的,我就说明楼主提供的证明并不能证明是 114 自己劫持了,并且用 OP 提供的网站实测了一次说明具有随机性,25 楼和 27 楼也举证说明了,我也没否认劫持的事实,结果就在这没具体讨论分析,在嘲讽、阴阳怪气是谁呢?
    v2tudnew
        41
    v2tudnew  
       41 天前
    @mohumohu
    明白你的意思了,114 在自己 DNS 服务器里面修改解析用于验证。
    但问题是 114 不是加密 DNS ,在这种情况下运营商只要过滤这个域名就可以伪装了。

    我之前也搞了这种验证自建加密 DNS 是否有效。🤣
    OBNtHBZY3N3lxGVT
        42
    OBNtHBZY3N3lxGVT  
       41 天前
    114DNS 会劫持修改用户数据应该是有的吧,我记得好多年前,乌云还在的时候,还暴露过 114DNS 的广告运营后台弱密码的问题呢,在后台可以针对性广告投放之类的
    guo4224
        43
    guo4224  
       41 天前
    愣是没看懂你在表达啥
    aladd
        44
    aladd  
       41 天前
    我默认联通 DNS abc.test.com 也是 69
    mohumohu
        45
    mohumohu  
       41 天前
    @v2tudnew 运营商劫持才不会花这种功夫,光明正大劫持。
    miaomiao888
        46
    miaomiao888  
       41 天前
    114 自身是不会劫持的,但可能被运营商劫持,一直传闻 114 所属信风公司的劫持业务应该只是面向他们的运营商级客户,而不是用在 114DNS 上。
    miaomiao888
        47
    miaomiao888  
       41 天前
    不过 114 的出口少,又不支持 DOH 等加密 DNS ,可做备用,主用就没必要了。
    itakeman
        48
    itakeman  
       41 天前 via Android
    @Huelse 不靠谱,诡辩=没否认。全程没否认哟,自己形容的真贴切哟。什么叫嘲讽,阴阳怪气请定义?你也配,直接 block 你
    Huelse
        49
    Huelse  
       40 天前
    @itakeman #48 哈哈哈,讲不出道理就开始抠字眼,还 block ,笑死
    Huelse
        50
    Huelse  
       40 天前
    @itakeman #48 你这种人跟微博、小红书上的女拳、键盘侠一样,全程不讲主题,主打一个针对别人的话钻漏洞,地鼠行为
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2698 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 14:10 · PVG 22:10 · LAX 07:10 · JFK 10:10
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.