之前一直在用 114DNS (114.114.114.114
), 使用浙江移动的网络后发现上微博(weibo.com)或者豆瓣(www.douban.com)会随机打不开页面,怀疑是劫持。
dig 了下发现这两个域名的 DNS 查询流量会间歇性被劫持到 111.0.93.*
附近的 IP. 于是尝试用阿里的 DNS(dig @223.5.5.5 weibo.com
), 还是有问题,看来移动把 53 端口的 DNS 流量全劫持了。我就向工信部投诉 ( http://www.chinatcc.gov.cn/cms/shensus/ ) 了。
第二天移动就派技术人员来我家了。他好像从来没见识过 DNS 劫持,当天下午我给来的运营商技术人员解释了半天什么是 DNS 劫持,劫持后的症状是怎么样的,和 HTTP 劫持区别在哪里,怎样确认是运营商干的。后来工作人员告诉我唯一的解决办法是用移动官方推送的 DNS 211.140.13.188
/ 211.140.188.188
. 使用后果然没有劫持了,不过使用这个 DNS 后输入错网址就会出来广告页面 http://rd.139site.com/error.html .
我就不高兴了,继续投诉,凭啥劫持我的公共 DNS 流量。今天当地移动又联系我了,告诉我问题反馈给了移动省中心 ,他们 承认有 DNS 劫持问题,但是暂时解决不了这一问题 。
对于运营商劫持问题,楼下 @everpcpc 给出了一些技术上的绕过办法,大家可以参考,但这个问题不仅仅是一个技术问题。
1
bxb100 2017-01-20 15:30:42 +08:00 via Android
合肥 百度贴吧登不上,换了 dns 其它站又登不上
|
2
7654 2017-01-20 15:35:57 +08:00
不按套路出牌啊
那就投诉要求移动屏蔽那几个 IP ,这个他们可以做到,不存在解决不了的问题 |
3
uzumaki 2017-01-20 15:40:06 +08:00 via Android
在换别的 dns ,上次我也这样换中科大的没事了
|
4
skylancer 2017-01-20 15:47:01 +08:00
换 CNNIC 的 DNS 即可,还敢劫持,呵呵~
|
5
shiny 2017-01-20 15:48:57 +08:00
听说 8.8.8.8 早就有劫持, ping 出来的延迟非常低,实现了「真正」的 Anycast
|
6
xjp 2017-01-20 16:01:49 +08:00 via iPhone
浙江移动 +1 同被劫持 经常性
|
7
Technetiumer 2017-01-20 16:24:48 +08:00
1.2.4.8 欢迎你
然后就投诉移动劫持 CNNIC DNS |
8
roist 2017-01-20 16:30:18 +08:00
移动宽带基本上就是铁通在运营,铁通这种铁路系老央企的作风你只有进去过才能见识到,相比之下移动的作风算是非常不错了
看了前几天铁通分光劫持资源的帖子,真的不敢在小城市用铁通的网了 |
9
roist 2017-01-20 16:31:09 +08:00
我记得种叫 httpdns 的东西 好像就是针对你这个情况的
|
10
aprikyblue 2017-01-20 16:58:19 +08:00
客户给运营商技术人员解释_(:зゝ∠)_
|
11
xia0pia0 2017-01-20 17:08:31 +08:00
我这还经常碰到连接被重置,访问 csdn 等大站都不行, https 的就没问题,投诉了也没用。
|
12
xvx 2017-01-20 17:09:24 +08:00 via iPhone
继续黑移动。 53 端口全劫持,换支持 443 的 DNS ,没过多久那个 DNS 就被封了。。。
|
13
Chalice 2017-01-20 17:09:44 +08:00
@aprikyblue 正常,那种技术人员一般就是拉拉网线的
|
14
ekenchan 2017-01-20 17:28:30 +08:00
如果你用智能路由器,在 dnsmasq 上设置屏蔽劫持后的 DNS 结果,再换非标准端口的 DNS 服务器,例如 OpenDNS
|
15
langjiyuan 2017-01-20 17:52:18 +08:00
全劫持 只要 53 端口的都有,自建的 dns 查询 google 硬是给返回一个移动的地址。。
|
16
edsgerlin 2017-01-20 18:00:27 +08:00
福建人表示,移动的技术人员是连 DNS 是啥都不知道的,电信的话还能聊聊智能路由之类的。不过 DNS 劫持的问题,工信部投诉一把移动还是给解决了,现在在用 114DNS 。
|
17
dfc643 2017-01-20 18:14:42 +08:00
1. 用 443 端口的解析,然后 iptables 流量导向
2. 用 HTTP(s) 协议的 DNS 解析 有些 ISP 劫持只是考虑防止用户设置错 DNS 导致网络慢 |
18
lee015 2017-01-20 18:17:14 +08:00 via Android
移动自己的 DNS 没劫持只是空域名跳广告的话, openwrt 的 dnsmasq 可以屏蔽 ISP 的 DNS 广告响应。
|
19
edsgerlin 2017-01-20 18:23:37 +08:00
@lee015 我们这边移动都是 HTTP 劫持插广告, DNS 和广告倒是关系不大。换公共 DNS 主要是福建移动的 DNS 的 IP 记录更新太慢了,有些小众网站不能正常访问。
|
20
sks4728 2017-01-20 18:27:28 +08:00
我也是浙江移动,和你的情况一样 会随机性出问题。微博豆瓣不知道 乃乃的百度搜索打不开,只能用默认 dns 然后跳广告(因为我不用 ie 实际影响不大)。懒得和移动扯 7 月到期不用了
|
21
xspoco 2017-01-20 19:13:20 +08:00
浙江电信一样劫持 劫持 apk 移动端底部弹广告
|
22
millson 2017-01-20 20:23:16 +08:00 via iPhone
目前只有一招,大家都换 https
|
23
ShadowsocksR18 2017-01-20 20:46:48 +08:00 1
有一次长春下大雪,早晨起来发现长宽的网断了,我给长春长宽的客服打电话,客服告诉我最近全球都受到黑客攻击。
我让她把片儿管的电话给我,我给片儿管打电话,片儿管说线冻坏了,正在拉新的。 |
24
autulin 2017-01-20 20:58:38 +08:00 via Android
之前被武汉移动搞过,微博上 @ 移动运营商把我改了
|
25
yexm0 2017-01-20 20:59:55 +08:00
@ShadowsocksR18 这个借口真是 6
|
26
garson 2017-01-20 21:03:28 +08:00 via Android
|
27
inspiron530s 2017-01-20 21:22:17 +08:00 1
你投诉也没用,如果用公共 DNS 很有可能会返回给你电信联通的 IP ,增加网间通信的成本,而移动又是单方面向电信联通缴纳昂贵的互联互通费用,因此其线路容量势必不会很大,为了尽最大可能将流量控制在移动自己的网络内,劫持公共 DNS 不失为一个有效的办法,但是移动自己的 DNS 却存在插广告, IP 记录更新太慢,某些地址解析不出来等问题,因此目前最好的办法就是要求并监督移动提升自己 DNS 的服务质量,并对迅雷和各种视频客户端的 P2P 流量进行疏导,降低网间通信成本,这样移动就没有劫持公共 DNS 的必要了
|
28
cheese 2017-01-20 21:30:48 +08:00
真的是巧了,我大前天开始投诉的。也是浙江移动,也发现了劫持 53 端口,同时还有弹窗 HTTP 劫持。移动给我回了 3 个电话,第一个解决了弹窗问题。第二个说 139 导航没法关闭,也就是劫持没法关闭。第三个电话说, 139 导航不是移动的,这话说出来你敢信?让我看看是不是中毒了,联系电脑专家 。今天刚投诉的工信部,看来是没戏了。
|
30
isnowify 2017-01-20 21:37:41 +08:00 via Android
|
31
cheese 2017-01-20 21:43:37 +08:00
@isnowify 哈哈哈。我也是,解释了什么是 DNS ,为什么我确定是移动的问题。但是联系的客服妹子是真的不懂技术。我让她让技术部的人直接联系,她回电话说后天没法直接联系客户。我也没继续说什么了。直接工信部了。估计这问题是无解了,看看明后天联系我怎么说吧。另外,移动的客服跟电信的比起来是差了点,之前电信的客服连 http 劫持都门清。不知道是不是被投诉多了。哈哈哈
|
32
lydasia 2017-01-20 21:45:25 +08:00
在国内真心累,别的不说了, dns 都得自己搭。。
|
33
mckelvin OP @skylancer @Technetiumer
CNNIC 的 1.2.4.8 也敢劫持! $ dig @1.2.4.8 weibo.com ; <<>> DiG 9.8.3-P1 <<>> @1.2.4.8 weibo.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39080 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;weibo.com. IN A ;; ANSWER SECTION: weibo.com. 600 IN A 111.0.93.218 ;; Query time: 24 msec ;; SERVER: 1.2.4.8#53(1.2.4.8) ;; WHEN: Fri Jan 20 22:01:38 2017 ;; MSG SIZE rcvd: 43 * * * @inspiron530s 你说的「如果用公共 DNS 很有可能会返回给你电信联通的 IP 」是指 CDN 域名的情况吧?这是可以理解的。但我遇到的域名都是主站域名,网站提供方没有移动专线就不应该跳到移动 IP 啊。 * * * @cheese 第二次投诉时我提到会把不存在的域名解析到 http://rd.139site.com/error.html 的问题,客服和我说可以把我加白名单。同时她提到这个网址是移动的合作商的,忘了具体啥名字,可能是这家 ( http://www.qixin.com/company/fe8c71cf-86da-4307-a358-a991b1c0a9da)。你试试以劫持国字头 CNNIC DNS (1.2.4.8)的名义向工信部投诉浙江移动看看。 |
34
mytsing520 2017-01-20 22:19:06 +08:00
移动到电信的流量是通过外省进行流量穿透的,到达电信的服务器基本上显示的都是电信的 IP ,政企版宽带也是这样
|
35
isnowify 2017-01-20 23:26:07 +08:00 via Android
@cheese 哪个地区的移动?我要到了江苏几个地区的客户经理的电话和微信 挺管用的 现在有问题直接搞他们
|
36
lazyjohnzhou 2017-01-21 00:33:32 +08:00 via Android
网络通信小白发个问,运营商这样劫持的话风险挺大的吧?万一他们用来劫持的服务器被导了些岛国片论坛甚至发论工的广告岂不是闯大祸了。
|
37
lan894734188 2017-01-21 00:47:27 +08:00 via Android
贴上严重违规 严重安全问题 泄漏公民信息隐患 等关键字就行了
|
38
roist 2017-01-21 01:29:19 +08:00
@lazyjohnzhou 我这一家国企的小宽带,手机上网满屏都是色情广告 APP 的热点弹窗自动下载,他们都有领导白名单的,没烦到领导就可以了
|
39
annielong 2017-01-21 12:06:05 +08:00
联通企业专线,一直劫持 apk ,下载下来全是 360 ,我去
|
40
lovelynn 2017-01-21 12:10:30 +08:00
杭州联通,一直有劫持,反馈过工信部,微博 @过 一段时间内不劫持了 过了几个月 又开始了 维权的话感觉得收集证据打官司
|
41
woyaojizhu8 2017-01-21 17:05:44 +08:00
@roist 铁通分光劫持资源的帖子?能给个链接吗?
|
42
woyaojizhu8 2017-01-21 17:10:19 +08:00
@lovelynn 你用的是纯粹的联通,还是华数(联通租用华数的线路)呢?
|
43
roist 2017-01-21 17:14:24 +08:00
|
44
sorcerer 2017-01-21 21:19:32 +08:00
应该是最近才开始的吧。。。我刚发现。。。
|
45
lovelynn 2017-01-22 00:45:34 +08:00
@woyaojizhu8 手机联通用户,之前有向工信部反馈过 但是几个月后又开始了。现象是一些和 qq 相关的非 https 的域名被插入广告 js (大概是 16 年 7 月反馈, 11 月又开始了)
|
46
asca 2017-01-22 09:47:08 +08:00
电信还是良心一点,官网投诉过一次后再也没劫持过。
|
47
joyerma 2017-01-22 10:24:30 +08:00
宁波移动宽带是这周五开始劫持
|
48
hqfzone 2017-01-22 10:58:51 +08:00
工作人员大都是白痴,因为人家公司强硬啊。我就是劫持了,但是不会改……
|
49
luojiyin87 2017-01-22 12:37:59 +08:00
直接 ss
|
50
bobopu 2017-01-22 15:06:43 +08:00
114 阿里这些都太显眼,用一些小众的 dns 试试。
|
51
everpcpc 2017-01-22 16:02:35 +08:00
围观。。。你可以尝试在 dns 返回的结果里忽略这个 ip ,比如我的 dnsmasq 里写了
``` ignore-address=202.106.199.37 ignore-address=61.50.248.117 ``` 这两条。。。 |
52
everpcpc 2017-01-22 16:04:12 +08:00
一般这种劫持就是 53 端口的请求给你秒返回一个他们的 ip ,把这个返回忽略掉等正常的结果回来就行了。
|
53
superxxin 2017-01-22 18:07:22 +08:00 via Android
dnspod 的 dns 还可以
|
54
mckelvin OP @everpcpc dnsmasq 的 bogus-nxdomain 和 ignore-address 好像都可以用来处理 DNS 劫持的问题。
这个事情我觉得不是技术问题。就像 GFW, 懂技术的人有技术能绕过,但它的存在就让人不爽,不过大部分人也没办法在确保自己安全的情况下抗议这个东西,毕竟它是一个不存在的东西。 运营商劫持不一样,起码还有上级部门(工信部)能管他。懂技术并且知情的普通消费者不应该事不关己或者嫌麻烦而选择无视,不要觉得中国网络环境就这样了,就放弃自己拥有的权利。用自己的工信部投诉单表明自己的立场,行使自己的权利,毕竟每一项权利都是来之不易的。众人拾柴火焰高,干死运营商劫持! |
55
xavierskip 2017-01-22 23:40:28 +08:00
我这里访问虎扑也有问题,我还没来得及仔细看
|
56
woyaojizhu8 2017-01-22 23:59:06 +08:00
@asca 电信官网可以投诉?我怎么找不到入口
|
57
woyaojizhu8 2017-01-23 00:00:53 +08:00
@annielong 请问是哪里的联通企业专线呢?企业专线相比家庭宽带强在哪里呢?
|
58
asca 2017-01-23 09:10:37 +08:00
@woyaojizhu8 去看了还真没了,以前是有的,谷歌一下的话发现浙江 安徽电信之类还保留了入口。
|
59
annielong 2017-01-23 15:23:47 +08:00
@woyaojizhu8 郑州的, 05 年左右拉的,地点太偏,基本上没有家用的,所以联通在建个基站直接拉的企业光纤,当时是百兆独享光纤, 5 个固定 ip
|
60
cheese 2017-01-23 17:28:12 +08:00 1
最新进展,工信部投诉之后,电话回访,说需要厂商那边技术人员操作,但是厂商已经放假了。等三月初上班才能行。让我先在工信部投诉上写同意,三月份保证一定解决。到现在还在推脱。不过真的现在也是要过年了,家里各种忙。现在懒得去折腾了,换了个小众 dns 先用着了。
@isnowify 浙江温州移动 |
61
cheese 2017-01-23 17:39:41 +08:00
最最最新进展。移动嘴上说着要三月份解决,实际上从刚刚的 nslookup 结果来看,劫持已经消失了。换了阿里的 DNS ,几个大站都能正常解析,不会随机有几个网站不能访问的情况了。事实证明,对于运营商的各种违反协议的行为,我们必须投诉,发出自己的声音。
|
62
isnowify 2017-01-23 17:54:32 +08:00 via Android
@cheese 今天移动终于打我电话了 告诉我技术人员正在“优化” 我问他会不会结束工单 他说我不同意是不会结束的
已录音╮(╯▽╰)╭ |
64
mckelvin OP @cheese 真棒!不过我第一次申诉的时候未经过我确认,就收到短信说我撤诉了,可能是移动那边搞的鬼。他们有我的身份证照片!
|
65
cheese 2017-01-23 21:47:24 +08:00
@mckelvin 不是不是,我说的是我们这边移动的对待工信部的投诉,是需要拍摄身份证的,这个是移动的规定。工信部只会在调节结束后,打电话确认一下是不是确实自己和解了。得到肯定的答复后,然后就会发一条短信
|
68
isnowify 2017-01-24 12:10:20 +08:00 via Android
|
69
gooesberry 2017-01-24 13:32:36 +08:00
深圳用户同样被劫持,小区网
|
70
ying9y 2017-01-25 21:09:50 +08:00
Pcap_DNSProxy 或许能解决,走 TCP 查询非 53 端口查询
|
71
zrwg 2017-02-17 10:38:22 +08:00 via Android
用移动上国内网,可笑
|