V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chen0717
V2EX  ›  宽带症候群

在老家用香港 cmhk 手机卡漫游,访问 google 会被 dns 污染,在深圳广州就没有这种情况,是怎么回事?

  •  
  •   chen0717 · 2019-05-29 14:03:35 +08:00 via Android · 9805 次点击
    这是一个创建于 1765 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有谁碰到过这种情况,如何解决?
    78 条回复    2019-06-08 00:00:03 +08:00
    hlz0812
        1
    hlz0812  
       2019-05-29 14:18:41 +08:00 via iPhone
    听说过几次这个情况了,不知道技术上是如何污染到通过专线拉到境外出口的 dns 的
    chen0717
        2
    chen0717  
    OP
       2019-05-29 14:31:34 +08:00 via Android
    @hlz0812 V2EX 上有很多人反映过这个情况
    titanium98118
        3
    titanium98118  
       2019-05-29 15:11:19 +08:00
    android9.0 可以启用 tls over dns
    ios 可以装一个 cloudflare 的 app
    chen0717
        4
    chen0717  
    OP
       2019-05-29 15:24:56 +08:00 via Android
    @titanium98118 已启用加密 dns,现在能正常上网
    yexm0
        5
    yexm0  
       2019-05-29 15:50:15 +08:00 via Android
    @hlz0812 你想多了。都是一家公司的网。想怎么玩就怎么玩。
    www.cmi.chinamobile.com/sc/tendering
    怕了的你换成 CSL 啊 3HK 啊 Smartone 啊不就没事了。
    lidodo
        6
    lidodo  
       2019-05-29 15:54:44 +08:00
    今日发现同一情况
    chen0717
        7
    chen0717  
    OP
       2019-05-29 16:21:10 +08:00 via Android
    @yexm0 问题是我的 cmhk 已经签了两年合同啊
    chen0717
        8
    chen0717  
    OP
       2019-05-29 16:22:00 +08:00 via Android
    @yexm0 应该是比照不同公司的情况来处理的吧?
    txydhr
        9
    txydhr  
       2019-05-29 16:46:34 +08:00 via iPad
    应该是没按照国际惯例和标准来配置漫游,估计得抓包什么的才能看出来
    chen0717
        10
    chen0717  
    OP
       2019-05-29 16:55:58 +08:00 via Android
    @txydhr 你是说 cmhk 的配置还是 cmcc 的配置?
    hlz0812
        11
    hlz0812  
       2019-05-29 17:48:38 +08:00 via iPhone
    @yexm0 但是没有使用拜访地接入就是用归属地的 ip 和 dns 的啊,现在能抓 dns 的软件很多,有什么证据能证明用了漫游地 dns ?
    chen0717
        12
    chen0717  
    OP
       2019-05-29 17:49:28 +08:00 via Android
    @hlz0812 如何抓 dns ?
    hlz0812
        13
    hlz0812  
       2019-05-29 17:52:18 +08:00 via iPhone
    dns 污染就只有两种情况,一种直接用了漫游地 dns,还有就是 dns 查询走了公网,墙具不具备监控和劫持专线业务的能力这个目前还不是很清楚
    hlz0812
        14
    hlz0812  
       2019-05-29 17:55:33 +08:00 via iPhone
    @chen0717 苹果的话下一个 surge,打开后上下网就能在抓包记录里找到响应 dns,安卓我暂时不用,可以自己查一下教程。我怀疑配置了两个 dns,一个有污染一个没污染。
    还有就是卡插到华为的 4G 路由器设备里有软件可以直接读信令看下发 dns,没有华为路由器就算了,用软件抓包肯定可以
    yexm0
        15
    yexm0  
       2019-05-29 18:12:39 +08:00 via Android
    @hlz0812 那你可以慢慢研究,反正人家的招标目的就是给你 cmcc 用 cmhk 的 dns 和网关让你能上谷歌。反推让 cmhk 用 cmcc 的也是正常不过的事。
    txydhr
        16
    txydhr  
       2019-05-29 18:16:33 +08:00
    https://www.v2ex.com/t/542622
    几个月前有人有相同的问题。

    两种可能吧
    1. dns 流量直接未经过母运营商,这种属于不符合规范了
    2. dns 配置有问题,比如配置了境内的 dns,流量虽然经过了 cmhk 香港,但是从境外向内地 dns 的查询也是被污染的
    hlz0812
        17
    hlz0812  
       2019-05-29 19:53:46 +08:00 via iPhone
    @yexm0 这个要开无忧行才能接入 cmhk 的 APN 吧?普通的国际漫游我试过 ip 是北京移动的,无忧行是香港中信的 ip (不是 cmhk 的 ip )
    关键他的 ip 是 cmhk 的啊,如果改成拜访地接入 ip 就暴露了,这才是无法理解的地方,而且有人抓过 dns,返回污染结果的 dns 也是 cmhk 的
    chen0717
        18
    chen0717  
    OP
       2019-05-29 20:46:02 +08:00 via Android
    @hlz0812 那是不是因为 cmhk 的 dns 配置不正确才被内地的 dns 污染的?
    hlz0812
        19
    hlz0812  
       2019-05-29 21:02:13 +08:00 via iPhone
    @chen0717 cmhk 的 dns 是香港本地的,而且漫游时确实也是请求的香港 dns,我个人认为墙已经在专线上部署了,只不过一般人不用专线,所以没有引起较大反应,专线上很可能也存在审查设备,只是没有公网的墙严
    chen0717
        20
    chen0717  
    OP
       2019-05-29 21:15:29 +08:00 via Android
    @hlz0812 但是 cmhk 的客服向我保证在内地是无墙的,而且我在广州和深圳也确实没有墙
    hlz0812
        21
    hlz0812  
       2019-05-29 21:31:15 +08:00 via iPhone
    @chen0717 可以是部分省的网关在转发流量时不是硬件转发,所以漫游地也可以对流量进行审查。就像电信的光猫可以对桥接模式下的流量进行过滤和控制,显然也不符合标准,理论上桥接的流量外部设备也是无法干扰的,所以可能是软件转发流量,就可以劫持了,如果加密流量,软件桥理论上就无法劫持流量
    shermano
        22
    shermano  
       2019-05-30 00:43:19 +08:00
    感觉可能是不同地区 DNS 设定的问题:

    看 DNS 是不是被污染了,可以 ping 一下可以通的 apple.com ,看返回的地址合不合理。理论上来说香港卡访问 apple.com 会直接用在香港或者其附近的知名 CDN (比如 Akamai Tech )而不是折返回内地,用内地运营商的 CDN。如果无故折返内地,则说明 DNS 有污染。而且我还发现在污染的情况下,google.com 有时指向的是 facebook.com

    我最近用 CMHK 卡在不同地方的漫游测试结果:
    广州:apple.com 被导向内地的城市。
    深圳:没有发现问题。
    长沙:apple.com 被导向内地的城市。
    苏州:没有发现问题。
    徐州:没有发现问题。
    txydhr
        23
    txydhr  
       2019-05-30 01:15:33 +08:00
    @shermano 这么说感觉还是配置错误导致使用了墙内的 dns。墙不污染 apple.com ,你在内地使用香港的 dns 也应该返回香港的 cdn。
    txydhr
        24
    txydhr  
       2019-05-30 01:23:56 +08:00
    @hlz0812 感觉墙应该不会随意审查专线,即使有技术,因为这个技术你只敢用在几家中资的海外运营商,能想到的就是 cmhk 和 zong。其他运营商你不敢用呀,那就属于劫持别人的通信了。
    chen0717
        25
    chen0717  
    OP
       2019-05-30 10:41:33 +08:00 via Android
    @shermano 那你有没有向 cmhk 反映这个问题?
    chen0717
        26
    chen0717  
    OP
       2019-05-30 10:41:59 +08:00 via Android
    @txydhr zong 是什么?
    shermano
        27
    shermano  
       2019-05-30 11:02:56 +08:00 via iPhone
    @chen0717 暂时还没有。估计是内地这边的 dns 配置问题吧…… 感觉香港那边也不太能保障内地运营商承运的网络漫游的质量......
    hlz0812
        28
    hlz0812  
       2019-05-30 11:09:50 +08:00 via iPhone
    @txydhr 我觉得是移动自己搞了 dns 抢答,没考虑到 dns 污染问题,墙那边没有理由要求把漫游的人墙了,联通有的地方也这样
    chen0717
        29
    chen0717  
    OP
       2019-05-30 11:25:45 +08:00
    @shermano 这种问题香港那边应该能够解决的
    shermano
        30
    shermano  
       2019-05-30 11:41:01 +08:00 via iPhone
    @chen0717 刚刚打了客服电话。已经反馈这个情况给 cmhk。他们给不了具体的解决时间。同时,客服还说有其他客户也反映了类似的状况。这个需要 cmhk 的技术人员和内地方面反映,才能解决。但是内地又很大,不同地区的配置情况又不同,所以......香港那边只能保证在香港那边配置是正确的,到了内地之后服务质量可能受限于当地运营商。目前的解决就是:等待吧……等哪一天修好了……
    hlz0812
        31
    hlz0812  
       2019-05-30 11:59:09 +08:00 via iPhone
    @shermano 只要有多个地区出现问题,那肯定集团公司要求这么搞的,你觉得会有这么巧合的事吗?不同省想一起了
    shermano
        32
    shermano  
       2019-05-30 12:12:41 +08:00 via iPhone
    @hlz0812 @chen0717 目前根据我的经验,发现部分地区的省会城市有这种现象。最近去过的地方湖南长沙有 dns 污染,广东广州有;浙江杭州却没有。其他城市一般没有.....
    lucifer9
        33
    lucifer9  
       2019-05-30 14:37:12 +08:00
    不知其他国外运营商,比如 Fi 的漫游,是不是也受类似影响呢
    如果 Fi 漫游走移动也有类似现象,那么 DNS 的可能性就比较大了
    txydhr
        34
    txydhr  
       2019-05-30 15:29:46 +08:00 via iPad
    @lucifer9 目测不敢
    txydhr
        35
    txydhr  
       2019-05-30 15:30:15 +08:00 via iPad
    @chen0717 中国移动巴基斯坦 哈哈😄
    txydhr
        36
    txydhr  
       2019-05-30 15:34:15 +08:00 via iPad
    @hlz0812 有可能,估计 cmhk 和 cm 之间的漫游没有加密,导致移动的劫持服务器没有排除掉 cmhk 的漫游用户。我也想到了,但是移动网络也会和宽带一样劫持 dns 么。
    xiaocongcong
        37
    xiaocongcong  
       2019-05-30 15:38:05 +08:00
    在新加坡用了几天 cmhk,不用翻真的爽歪歪。回来之后好郁闷
    hlz0812
        38
    hlz0812  
       2019-05-30 15:56:58 +08:00 via iPhone
    @lucifer9 其他运营商也有,但是 90%都是大陆运营商海外分公司的卡出问题
    hlz0812
        39
    hlz0812  
       2019-05-30 16:00:33 +08:00 via iPhone
    @txydhr 我觉得是故意搞的,劫持移动网络的技术和宽带劫持的技术肯定不一样,我觉得是网络里加装设备,把发往 cmhk 的 dns 请求转发给大陆的 dns 服务器,然后假装成 cmhk 的 dns 返回结果,可能本来只是为了加快 dns 解析,没考虑到这个问题,某部门应该不会丧心病狂到要求运营商劫持海外用户流量吧
    snoopygao
        40
    snoopygao  
       2019-05-30 16:08:43 +08:00
    18 美元 1 年的 changeip(鲨鱼机房) $$起飞
    chen0717
        41
    chen0717  
    OP
       2019-05-30 18:24:16 +08:00 via Android
    @shermano 刚才客服也回复我了,说是香港这边的配置没问题,会去调查我老家那边的情况
    leido
        42
    leido  
       2019-05-30 19:10:30 +08:00
    移动有拜访地接入,但是香港的卡应该是直接走香港 ggsn 的,各地区设置不同吧。
    txydhr
        43
    txydhr  
       2019-05-30 20:44:44 +08:00
    @hlz0812 我记得移动 n 年前发文说明了使用第三方 dns 可能对移动用户造成“用户体验下降”,所以很多地方就搞了 dns 劫持,cmhk 应该是误伤。
    hlz0812
        44
    hlz0812  
       2019-05-30 21:35:46 +08:00 via iPhone
    @txydhr 但 dns 劫持非公网流量也是第一次见,好比你挂了 v 上网,移动还能劫持你的 dns 一样,正常来说本地 dns 劫持根本没法劫持专线上的流量
    chen0717
        45
    chen0717  
    OP
       2019-05-30 23:40:20 +08:00 via Android
    @xiaocongcong 你那里的 cmhk 也被污染了吗?
    Kowloon
        46
    Kowloon  
       2019-05-31 00:14:45 +08:00 via iPhone
    今天在深圳刚用了 CMHK 没发现问题
    foru17
        47
    foru17  
       2019-05-31 02:15:42 +08:00 via iPhone
    cuniq hk,坐标深圳也有 google 被污染的情况,我群里也已经有两三个人反应了,西安广州都有,我是用 1.1.1.1 解决了。
    txydhr
        48
    txydhr  
       2019-05-31 03:32:36 +08:00 via iPad
    @hlz0812 可能没加密?有点类似于 ipv6 tunnel 也会被劫持和 reset ?虽然已经是专线了但是还是触发了关键词
    txydhr
        49
    txydhr  
       2019-05-31 03:35:18 +08:00 via iPad
    @txydhr 唉,毕竟不是专业的,不知道从连接的中国移动基站到 cmhk 香港机房这段具体怎么配置的,有没有国际通用的标准。
    hlz0812
        50
    hlz0812  
       2019-05-31 10:35:12 +08:00 via iPhone
    @txydhr 可能移动用公网建立隧道回源了,隧道回源有几种方式:
    1.运营商间点对点专线
    2.公网上建立 v p n
    3.专线连接到国际网络交换中心(实际也是专线,节省投资而已)

    公网基本没几家用的
    xieyudi
        51
    xieyudi  
       2019-06-02 17:31:17 +08:00 via Android
    4 楼的 "已启用加密 dns,现在能正常上网" 很有意思。
    据我了解墙是分多种的。 正常来讲,dns 污染设备是在地级市都会有一套。各种 http/https 发 reset 往往是在出口前一跳。

    我想应该是 dns 查询无状态所以更容易识别,所以全国大规模部署;而后者需要保存状态,需要用大量计算资源(集群),所以集中处理。anyway 重点是显然这两套系统是分开部署的。

    照理说如果是拜访地接入,那么享受的恐怕就是普通强国内网的待遇了,解决了 dns 污染肯定还是上不了网的。所以不可能。

    如果是纯粹的归属地接入,如果是 DNS 配置了大陆的 DNS 才出问题,那加密访问也不行,所以不可能。如果 DNS 配置了墙外的 DNS,那一开始就不应该有问题。

    所以感觉可能解释是,某些地方的移动的 DNS 无差别劫持,然后误伤到漫游用户。劫持后因为过墙,所以还是被墙。

    还有种可能就是有意为之,单独部署了一套 DNS 抢答设备。毕竟到处都是。
    xieyudi
        52
    xieyudi  
       2019-06-02 17:46:18 +08:00 via Android
    我前阵子在美国使用 AT&T 的卡是发现了一件事。感觉劫持 DNS 请求是国际惯例。

    背景:我自己写了一个小型 DNS 服务器,部署在我的服务器上,用于动态解析。监听 UDP 53。这个服务器除了相应标准的请求外,还会接受一些我自定的非标准的命令(比如更新 A 记录,这样我家里 IP 地址变动是就向其发送一个这种包),和 DNS 一样都是由 UDP 53 完成(懒得再监听其他端口)。

    我在家里的网测试,不管是 DNS 请求还是别的,都是通的。
    诡异的是,我在用 4G 测试时,只有发送标准的 DNS 请求,服务器才收得到(当然那一头源 IP 是 AT&T 的网关)。如果往 UDP 53 发送非标准数据,另一头就收不到。

    理论上 IP 网应该都是至少在传输层 /应用层透明的才对,可是这个事说明运营商会对 UDP 53 应用层的数据进行分析,分流,过滤。
    hlz0812
        53
    hlz0812  
       2019-06-03 14:44:30 +08:00 via iPhone
    @xieyudi 感觉有意为之可能性较大,因为一般意义上的 dns 抢答用于公网,隧道回源都可以被劫持那大概率在专线上有审查设备,毕竟传输的协议都不一样
    chen0717
        54
    chen0717  
    OP
       2019-06-03 19:49:30 +08:00
    @hlz0812 已经反映了好几天了,还没解决,已经打电话去催了
    leido
        55
    leido  
       2019-06-03 22:08:05 +08:00 via Android
    楼主不提供一下被劫持时候手机公网 ip 吗?
    ip 都没看到就一堆猜测拜访地接入的
    看一下手机分配的 dns 地址是什么
    该自己解决的一定要问别人吗
    chen0717
        56
    chen0717  
    OP
       2019-06-03 22:14:38 +08:00 via Android
    @leido 早就测试过了,分配到的是百分之百的香港 ip,至于分配到的 dns,请问怎么看
    leido
        57
    leido  
       2019-06-03 22:18:41 +08:00 via Android
    @chen0717 下个 Best trace ( ipip.net 出品)
    chen0717
        58
    chen0717  
    OP
       2019-06-04 13:11:00 +08:00 via Android
    @leido 测出来的 dns 该不会只是内网地址吧?
    leido
        59
    leido  
       2019-06-04 18:54:00 +08:00
    @chen0717 没有哪个运营商的 dns 是内网地址
    txydhr
        60
    txydhr  
       2019-06-05 08:18:48 +08:00
    @hlz0812 纯假设:也有可能 cmhk 的流量到地市级或者省级机房才进入专用隧道回港(反正在墙之前),而当地的 dns 抢答设备设在了区县甚至基站处,而国外运营商可能从基站处就进入专用隧道了。
    hlz0812
        61
    hlz0812  
       2019-06-05 08:33:24 +08:00 via iPhone
    @txydhr 基站是直接接入专用环网的,dns 抢答设备肯定是专门放置的
    txydhr
        62
    txydhr  
       2019-06-05 08:34:33 +08:00
    其实排除法就可以看出来了
    楼主看一下 www.qq.com itunes.apple.com www.google.com 这三个的解析结果
    正常漫游 前两者返回香港的 cdn 最后一个返回正常结果
    如果是墙的劫持 前两者返回的是香港的 cdn 最后一个解析结果污染
    如果是本地移动的劫持 前两者返回的是国内的 cdn 最后一个解析结果污染

    或者楼主开个 nslookup www.qq.com 123.45.67.89 如果有结果返回就是本地移动 dns 劫持
    也可以参考 http://nstool.netease.com/
    txydhr
        63
    txydhr  
       2019-06-05 08:35:27 +08:00
    @hlz0812 主要是 cmhk 和 cm 间不一定这么配置
    hlz0812
        64
    hlz0812  
       2019-06-05 09:23:59 +08:00 via iPhone
    @txydhr 排除法也不行,移动是选择性劫持的,就是干扰,但是没完全劫持
    skylancer
        65
    skylancer  
       2019-06-05 15:41:46 +08:00 via iPhone
    @leido 我想知道有多少家运营商的 Celluar DNS 直接指着公网?要不举个例子?
    hlz0812
        66
    hlz0812  
       2019-06-05 16:03:49 +08:00 via iPhone
    @skylancer 国内三家的 dns 就全是公网,江苏电信 218.2.2.2/218.4.4.4,北京电信 219.141.141.10/219.141.136.10 ,北京移动 221.179.155.209
    skylancer
        67
    skylancer  
       2019-06-05 17:36:33 +08:00 via iPhone
    @hlz0812 然而香港运营商都不是,并不适用

    @yexm0 然而事实上一样有问题,因为我就在用着
    skylancer
        68
    skylancer  
       2019-06-05 17:38:10 +08:00 via iPhone
    @hlz0812 另外我看了下,深圳联通移动都不是
    skylancer
        69
    skylancer  
       2019-06-05 17:38:29 +08:00 via iPhone
    手滑了.. 联通电信才对,移动没卡了
    yexm0
        70
    yexm0  
       2019-06-05 18:16:48 +08:00 via Android
    @skylancer csl? 1010? sun mobile? 3HK? Smartone? 自由鸟?
    skylancer
        71
    skylancer  
       2019-06-05 18:40:10 +08:00 via iPhone
    @yexm0 csl, 3, smc 全都是上台 plan
    yexm0
        72
    yexm0  
       2019-06-05 19:27:39 +08:00 via Android
    @skylancer 在哪用的?我在深圳,以前用过两年 3,现在用了半年 csl 没见到用不了谷歌系服务
    i.imgur.com/b8awHvB.jpg
    skylancer
        73
    skylancer  
       2019-06-06 09:54:24 +08:00
    @yexm0 就在深圳,而且 [重点是] 说的不是用不了 Google 系服务而是有 DNS 污染
    hlz0812
        74
    hlz0812  
       2019-06-06 12:14:26 +08:00 via iPhone
    @skylancer 解析几个内地香港都有 cdn 的看看,看看解析出哪的
    skylancer
        75
    skylancer  
       2019-06-06 14:22:45 +08:00
    @hlz0812 当然是香港...
    skylancer
        76
    skylancer  
       2019-06-06 14:23:01 +08:00
    @hlz0812 估计你们能想到的我都试过了
    chen0717
        77
    chen0717  
    OP
       2019-06-06 14:40:05 +08:00 via Android
    @hlz0812 今天 cmhk 回我电话,说解决不了我老家用不了 google facebook 的问题,说是因为当地的运营商配置有问题
    ccav
        78
    ccav  
       2019-06-08 00:00:03 +08:00
    UDP 劫持而已.所有的 53 端口 UDP 全部劫持.
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1785 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 35ms · UTC 16:32 · PVG 00:32 · LAX 09:32 · JFK 12:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.