V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
301
V2EX  ›  DNS

国内腾讯云上部署的 AdGuardHome,接收到来自德国某研究机构的 DNS 探测

  •  
  •   301 · 2021-08-07 21:53:14 +08:00 · 8263 次点击
    这是一个创建于 963 天前的主题,其中的信息可能已经有所发展或是发生改变。

    来自 IP 131.159.24.242 ,应该没有恶意,查看日志时发现的,之前经常清日志,没发现,至少从 7.10 开始,每隔 6 个小时请求 test.com 的 A 记录,大概是扫全网的 53,443,853,784 端口找到的 尝试直接访问 IP 的 80 端口,http://131.159.24.242 ,发现居然有说明,好像还挺有意思的

    26 条回复    2021-08-12 18:59:25 +08:00
    yanzhiling2001
        1
    yanzhiling2001  
       2021-08-07 22:02:22 +08:00
    自己部署的 adguardhome,怎么只能自己用。放公网上一堆人扫,挺烦的。

    放在自己家的 itx 主机上吧,那些屏蔽规则又又添加不了。

    垃圾移动。
    learningman
        2
    learningman  
       2021-08-07 22:02:44 +08:00
    DoQ 收到过,同 AdGuard
    learningman
        3
    learningman  
       2021-08-07 22:03:34 +08:00
    @yanzhiling2001 #1 whitelist 里加上自己家的 IP Range,或者加密 DNS 放非标端口
    sky96111
        4
    sky96111  
       2021-08-07 22:16:00 +08:00
    leiakun
        5
    leiakun  
       2021-08-07 22:49:18 +08:00 via iPhone
    最新的测试版 v0.107.0-b.7 已经可以在访问设置-允许的客户端,通过添加客户端 ID 来设置白名单,只允许指定的客户端 ID 请求 dns,其余请求全部丢弃。再也不会出现莫名其妙的 IP 扫描了。
    wtks1
        6
    wtks1  
       2021-08-07 22:52:02 +08:00 via Android
    在家部署和在服务器上部署还是有差别的,之前就发现很多网站从服务器上解析到的地址,从家里访问是比较慢的,在家部署的请求 dns 才能获取到最合适的线路
    ik
        7
    ik  
       2021-08-07 22:52:04 +08:00 via iPhone
    ⚠️ 奇怪,国内云服务部署 dns,没收到警告?
    301
        8
    301  
    OP
       2021-08-07 23:03:00 +08:00 via Android
    @ik 避开 53 端口,只用 DoT 和 DoH,这样就差不多了
    @wtks1 我设的上游是香港的阿里 dns,开 ecs,国内国外都很友好
    @leiakun @sky96111 👍 等正式 release 啦
    06_taro
        9
    06_taro  
       2021-08-08 01:16:11 +08:00
    想要 doh/dot 限制只能自用的话,可以 tls 中开启 client certificate authentication,然后客户端部分没有你的私钥时 tls 阶段就被断开了
    Mitt
        10
    Mitt  
       2021-08-08 01:24:49 +08:00
    @06_taro #9 主要是客户端支持双向认证的不多把,比如路由器,那不就自己也用不了
    Mitt
        11
    Mitt  
       2021-08-08 01:25:35 +08:00
    @06_taro #9 而且 AdGuard 我也没看到有双向认证的设置
    Mitt
        12
    Mitt  
       2021-08-08 01:30:14 +08:00
    主要是国内私建 DNS 好像是不合法的,所以 UDP53 会被网安扫查举报给腾讯云,我就被举报了,所以建议关掉 TCP/UDP 端口,DoT/DoH 建议不要用默认端口避免也被扫查,否则被屏蔽端口或者封机器就得不偿失了
    06_taro
        13
    06_taro  
       2021-08-08 01:43:24 +08:00
    @Mitt 客户端不直接支持的话,前面放一个支持的来拆 tls,或者直接代理 https 都行,Apache Nginx HAProxy 都是支持的,路由器上放开销也不大,主机更没有影响。麻烦的是如果你要用手机直接用之类的。
    Mitt
        14
    Mitt  
       2021-08-08 01:46:34 +08:00
    @06_taro #13 我觉得最麻烦的是既然都要前置一个 DNS 来拆 DNS,那为啥不直接在局域网内就搭建一个 adguard home,有点多此一举了
    davidyin
        15
    davidyin  
       2021-08-08 03:32:07 +08:00 via Android
    看这个 adguardHome 这个 Home 就是让安在家里的。放在外面不合适。
    301
        16
    301  
    OP
       2021-08-08 08:23:18 +08:00 via Android
    @06_taro 主要是给手机用,双向认证的话应该很麻烦,目前准备前置 HAProxy 限制一下 SNI 了
    @Mitt 是的,53 和 443 端口都没开,DoT 一直用默认端口,目前没啥问题
    gitopen
        17
    gitopen  
       2021-08-08 10:07:57 +08:00
    AdguardHome 。。。 为什么叫 Home 。。。就是在家里用。。。手动🐶
    301
        18
    301  
    OP
       2021-08-08 11:23:39 +08:00 via Android
    @davidyin @gitopen 如果是让在家里用,为啥 AGH 还要支持 DoT DoH DoQ 服务呢🐶
    leiakun
        19
    leiakun  
       2021-08-08 11:53:46 +08:00 via iPhone
    @301 国外没有禁止私设 dns,他们可以在家自己建一个 dns 服务自己用也能对外提供服务。想怎么玩都行。
    Lantian
        20
    Lantian  
       2021-08-08 15:12:58 +08:00   ❤️ 2
    不止国外有扫描,,,我还收到不少国内的 DNS 探针。
    有的还带域名。请求的是 DoT 通道 twitter 域名的 A 和 AAAA 解析
    Cipool
        21
    Cipool  
       2021-08-08 16:29:26 +08:00 via Android
    @Lantian 这种怎么感觉是在搜索国内无污染 doh 服务器
    gitopen
        22
    gitopen  
       2021-08-08 16:43:49 +08:00
    @leiakun 就是这个意思。。。我在家里搞了一台服务器,上面跑着各种服务,其中就包括 AGH,把路由器的 DNS 设置为服务器的局域网 ip,这样,家里所有设备就可以 DNS filter 了。。。只在 home 范围里使用。。
    Lantian
        23
    Lantian  
       2021-08-08 17:54:23 +08:00
    @Cipool 我也怀疑。。。。。
    davidyin
        24
    davidyin  
       2021-08-08 19:35:15 +08:00 via Android
    @301 https://images.g2soft.net/image/bn3U
    图片不显示的话,可以看看官方介绍 https://kb.adguard.com/en/home/overview
    本来就是这么设计,当然一定放在公网是你自己的选择,也可以。
    Sekai
        25
    Sekai  
       2021-08-10 00:26:06 +08:00
    AGH 要放到国外,不要用任何国内厂商的 dns,这样才干净吧
    guanzhangzhang
        26
    guanzhangzhang  
       2021-08-12 18:59:25 +08:00
    软路由 openwrt 上运行一个,局域网有条件的话 docker 起个 ad
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3512 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 10:48 · PVG 18:48 · LAX 03:48 · JFK 06:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.