DNS污染的解决方法

已于 2022-02-08 23:03:49 修改
阅读量6.6k 收藏 5
点赞数
分类专栏: 网络 文章标签: http 代理模式 服务器 DNS
于 2022-01-31 18:26:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uiop_uiop_uiop/article/details/122761096
版权

在一些企业机构当中,存在部分DNS请求会被网关直接修改。造成无法访问的情况。而传统的socks代理也只能针对IP层面进行代理,当需要访问的地址以域名的形式存在的时候,DNS解析都是系统自动完成的,并不会走之前设置的socks代理,造成解析出来的IP错误,根本就轮不到使用之前用的代理。

因为早期DNS协议设计的时候并没有考虑安全和加密,造成默认的UDP DNS请求全都是明文传输的,所以在传输过程中非常容易被篡改。

所以我们需要一个完全的方法来应对这种情况:

ISP会直接修改UDP DNS请求的数据包造成DNS污染。

我们可以尝试 DNS over HTTPS(DoH)和DNS over TLS (DoT)。

DoH采用的就是普通的https请求,比较推荐使用,通讯采用443端口。

DoT是有可能会被封锁的。因为其采用853端口,可能网络环境直接ban掉这种不常见端口(常见端口:80,443;8080)。在我的网络环境下,正好就无法outbound 853端口。

在最新版的Windows 10当中,可以看到DoT的身影,但是无法使用DoH。

以下的方案当中,我搭建了一个本地的UDP DNS Server,通过解析UDP DNS报文,将其转换成DoH的请求样式,通过Socks代理向提供DoH服务的提供商发送HTTPS请求,收到返回的请求之后再转换成UDP DNS报文模式返回响应。d

pip install encrypted-dns

第一次运行,直接运行该程序让其生成一个默认的配置文件。

encrypted-dns

生成的配置文件在"C:\Users\Administrator\.config\encrypted_dns\config.json"

下面的样式是我最终的配置,将【】标注的按照要求进行替换就可以进行使用。

建议在网络与共享中心当中设置固定ip地址

在我的网络环境下,https://8.8.8.8都被ban了。所以都要采用代理

{
    "version": "1.2.0",
    "ecs_ip_address": "128.97.0.0",
    "dnssec": false,
    "dns_cache": {
        "enable": true,
        "override_ttl": 3600
    },
    "firewall": {
        "refuse_ANY": true,
        "AAAA_disabled": false,
        "rate_limit": 30,
        "client_blacklist": [
            "128.97.0.0"
        ]
    },
    "rules": {
        "force_safe_search": false,
        "hosts": {
            "localhost": "127.0.0.1",
            "cloudflare-dns.com": "1.0.0.1",
            "dns.google": "8.8.8.8",
			"dns2.google": "8.8.4.4"
        }
    },
    "inbounds": [
        "【本机的IP地址,注意不要用127.0.0.1】:53",
        "tcp://【本机的IP地址,注意不要用127.0.0.1】:5301"
    ],
    "outbounds": [
        {
            "tag": "bootstrap",
            "dns": [
                "8.8.8.8"
            ],
            "domains": [
                "captive.apple.com",
                "connectivitycheck.gstatic.com",
                "detectportal.firefox.com",
                "msftconnecttest.com",
                "nmcheck.gnome.org",
                "pool.ntp.org",
                "time.apple.com",
                "time.asia.apple.com",
                "time.euro.apple.com",
                "time.nist.gov",
                "time.windows.com"
            ]
        },
        {
            "tag": "unencrypted",
            "dns": [
                "udp://114.114.114.114",
				"udp://114.114.115.115",
				"udp://223.5.5.5"
            ],
            "concurrent": false,
            "domains": [
                "sub:163.com",
                "include:baidu.com"
            ]
        },
        {
            "tag": "encrypted",
            "dns": [
				"https://dns.google",
                "https://dns2.google"
            ],
            "proxies": {
                "http": "http://【代理用户名】:【代理密码】@127.0.0.1:【端口】",
                "https": "http://【代理用户名】:【代理密码】@127.0.0.1:【端口】"
            },
            "concurrent": false,
            "domains": [
                "include:【要防止被污染的域名】",
            ]
        }
    ]
}

去掉IPv6,就是将这个勾去掉。因为测试过程中会发现很多应用默认采用的都是IPv6进行请求。其实也可以在IPv6地址的DNS当中进行设置,但是也会可能在后续的socks代理当中出现问题就干脆直接去掉了。

 如果要进行IPv6,首先需要确定你的socks代理支持ipv6,然后在上面的配置文件当中

"inbounds": [
        "【本机的IP地址,注意不要用127.0.0.1】:53",
        "【本机的IP地址,IPv6】:53",
        "tcp://【本机的IP地址,注意不要用127.0.0.1】:5301"
        "tcp://【本机的IP地址,IPv6】:5301"
    ],

设置两个bind的地址就可以同时也监听上ipv6地址。

在ipv4当中这样设置。ipv6同理

配置好之后,运行encrypted-dns运行起来挂着即可。

补充:

在长时间的运行过程中,会发现会有很多有问题的请求。

 

猜测应该是有很多没有shutdown RDWD的socket连接还在占用系统资源。这个需要对encrypted-dns进行更改,找到每个端口in/outbound的位置加上s.shutdown(2)即可 

uiop_uiop_uiop
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
什么是DNS污染DNS污染解决方法
hua520064的博客
12-17 6816
相信绝大部分的朋友没有听说过dns污染这个词语,其实dns污染就是dns劫持的一种,那么dns污染怎么办呢?下面56云就来跟您说说简单的dns污染解决方法,希望对大家有帮助。 什么是DNS污染? 按照百度百科的解释就是:某些网络运营商为了某些目的,对DNS进行了某些操作,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。某些国家或地区为出于某些目的防止某网站被访问,而且其又掌握部分国际DNS根目录服务器或镜像,也可以利用此方法进行屏蔽。 和某些流氓运营商利用DNS劫持域名发些小广告不同,DNS污染
DNSCrypt消除DNS污染
08-29
安装时请注意,windows10无法直接运行,需要以管理员身份进入CMD,运行该软件才能正确安装,安装后启动。可以快速访问一些没有被防火墙封杀,但访问慢的网站
DNS污染应该如何解决
10-01
DNS污染是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址
如何解决dns污染问题?(dns污染解决方法)
yuming301的博客
08-04 3345
DNS污染也被称为DNS污点攻击,是指黑客通过在DNS服务器DNS缓存中添加虚假的IP地址或DNS记录,以便从受害者(如普通用户)中获得敏感信息或盗取其账户信息等行为。此外,DNS污染行为也旨在破坏正常的DNS查询过程,例如阻止对目标网站的访问。从可靠的来源选择一个DNS服务器是重要的,这可以降低DNS污染的风险。如果您怀疑您的本地DNS缓存被污染了,可以通过清除本地DNS缓存来解决这个问题。1.修改DNS记录:攻击者可以在DNS服务器DNS缓存中注入错误的DNS记录。1.使用可靠的DNS服务器
DNS污染是什么?防止和清洗DNS污染解决方案
qq_42992840的博客
06-19 777
DNS的工作原理可以类比于电话簿或地址簿:当你想要访问一个网站时,你的设备会询问DNS服务器该网站的IP地址是什么,然后DNS服务器响应这个请求,告诉你的设备正确的IP地址。DNS污染,或称为DNS污染攻击,是一种网络攻击方法。使用安全的DNS服务器: 选择信誉良好的DNS服务提供商,特别是那些提供额外安全措施(如DNSSEC)的服务商。更改DNS设置: 在设备或路由器上手动更改DNS设置,使用如Google DNS或OpenDNS这样的公共DNS服务,这些服务通常提供更加安全和可靠的DNS解析服务。
域名投毒,DNS污染,域名欺骗,其实就是域名污染
LuHai3005151872的博客
11-29 1639
域名污染”又称“DNS污染”、“域名欺骗”、“域名缓存投毒”。“域名污染”简单说就是当电脑向域名服务器发送了“域名查询”的请求,然后域名服务器把回应发送给你的电脑,这之间是有一个时间差的。 如果某个攻击者能够在域名服务器的“DNS应答”还没有到达你的电脑之前,先伪造一个错误的“DNS应答”发给你电脑。那么你的电脑收到的就是错误的信息,并得到一个错误的IP地址。 “域名污染”防除方法: 对付DNS劫持,只需要把系统的DNS设置手动切换为国外的DNS服务器的IP地址即可解决。 对于DNS污染,一般除了使用代理.
关于DNS污染问题的通用解决方案
Zeriter的博客
09-13 3244
什么是DNS污染? 百度百科给出的解释是:某些网络运营商为了某些目的,对DNS进行了某些操作,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。某些国家或地区为出于某些目的防止某网站被访问,而且其又掌握部分国际DNS根目录服务器或镜像,也可以利用此方法进行屏蔽。 和某些流氓运营商利用DNS劫持域名发些小广告不同,DNS污染则让域名直接无法访问了,非得修改DNS服务器不可 什么是GWF “金盾”工程,实质上就是公安通信网络与计算机信息系统建设工程。是国家电子政务建设的12个重要业务系统之一。2003
解决DNS污染DNS劫持的软件
02-07
2.通用解决方法 这种方法更为彻底,保证所有网络程序都能获得正确的DNS解析。 http://code.google.com/p/pydnsproxy/ 到以上地址下载DNS Proxy这一程序,安装(Vista/Win7需要以管理员身份运行)。 然后修改你的...
Hosts-chooser:跨平台软件可解决DNS污染
05-08
为被dns污染的站点自动匹配最佳ip地址 功能特性 多线程 本地模式和网络模式获取ip ip存活检验测速 读取文件批量识别 Linux自动更新hosts Windows自动更新hosts 环境要求 需要python3.7+环境 运行 Linux ./Host...
防止DNS污染的软件,支持dropbox被qiang
07-01
防止DNS污染,可以解决Dropbox大陆用户无法登陆的问题
域名dns污染,如何防治?
zhongjieyuming的博客
12-21 1639
DNS污染实际上是利用DNS的协议不严谨,改变我们电脑本地正确的缓存,但会造成我们的IP地址出现错误指向,即输A网络地址,打开的却是B网络页面,所以必须及时有效地处理,才能正确访问域名。下面就分享域名dns污染解决方法
dns污染.docx
06-16
dns污染
如何解决DNS污染
w8y56f的专栏
09-10 2217
如何解决DNS污染 背景 比如公司网络或者某些软件会进度DNS污染导致无法访问。 这是因为DNS污染后没法将访问的域名转为IP。 那很简单,就是在正常的电脑上ping这个链接的域名,得到IP(就算ping不通,域名对应的IP也会显示出来) 然后在被DNS污染的机器上配置hosts映射。 上面的是如何解决自己的机器的,就自己一台机器而且还是自己的,那就很方便解决了。如果是域名被广泛污染导致一个片区的人的访问受阻,这时候可能就没什么好方法,只能投诉下当地的服务接入商了(就是提供网络服务这些运营商,电信/联通/
DNS污染
weixin_40662209的博客
05-22 533
DNS Domain Name System 域名和IP地址相互映射的一个分布式数据库。 记录类型 主机记录(A记录):特定的主机名映射到对应主机的IP地址 别名记录:将某个别名映射到A记录上,不需要再次重新映射到新IP上。 IPV6主机记录(AAAA记录):与A记录对应,用于将特定的主机名映射到一个主机的IPV6地址。这应该是区别于早期大量使用的IPV4。 域名解析 把域名指向空间网站IP...
彻底解决DNS劫持污染,如何彻底解决DNS劫持污染方法介绍
热门推荐
Anran
10-10 2万+
DNS劫持污染介绍 DNS污染——指的是用户访问一个地址,国内的服务器(非DNS)监控到用户访问的已经被标记地址时,服务器伪装成DNS服务器向用户发回错误的地址的行为。范例,访问油管、脸书之类网站等出现的状况。 你使用一个不存在的 IP (肯定不是 DNS )作为 DNS 去解析某个域名的时候,理应没有任何返回,但是却能返回一个错误 IP。为了证明是污染不是劫持,你再用这个不存在的 IP 去解析不存在的域名,这个时候你会发现没有任何返回,这就说明这个不存在的域名没有被污染。 下面就来教你如...
windows DNS污染解决
笑笑布丁的博客
09-18 3647
背景:在爬ins 的时候,稀里糊涂的就dns污染了,然后就不能爬取。 解决办法: 1、右键田图标: 2、 输入ipconfig /flushdns, 大部分人在这里就已经刷好dns可以上了,但我的还是不行。 3、后来我替换了DNS地址改成8.8.8.8,然后 输入ipconfig /flushdns就好了~。 ...
dns污染后应该怎么办?
dilu2941的博客
09-20 3222
  DNS全称是域名系统,它所起到的作用,在于把域名解析为IP地址。我们能访问到某个网站,靠的是连接到该网站服务器的IP地址,DNS在这里面起到的作用就是把“”解析成“123.125.114.144”这样的IP地址,让你能够连接到这地址的服务器来访问网站。  IIS7网站监控  查网站是否被劫持、DNS污染检测、网站打开速度等问题。  DNS出错到底有没有救?  前面也提到过,要对付运营...
DNS污染/毒化
syhsa的博客
01-19 420
DNS 毒化攻击是一种针对 DNS(Domain Name System)协议的攻击方式,其原理是通过篡改 DNS 响应数据包中的域名和 IP 地址的映射关系,从而将用户访问的网站重定向到攻击者控制的恶意网站上。具体来说,攻击者会发送伪造的 DNS 响应数据包给用户或中间服务器,其中包含了虚假的域名和相应的 IP 地址映射关系。当用户或服务器接收到这样的响应后,就会把错误的映射记录到本地 DNS 缓存中,导致以后的请求都会被重定向到攻击者的恶意网站上,从而达到攻击的目的。而且都是攻击者的回应。
dns污染怎么快速清除解决
dilu2941的博客
09-20 6793
  如果有条件,自已DNS还是非常必要的,至少有一亩三分地的净土。 但是DNS污染是无处不在的,特别是 Forwarding的记录。  那如何检测DNS污染的问题?  IIS7网站监控  检测网站是否被劫持、域名是否被墙、DNS污染等信息。  一旦 IPv6 Tunnel连接失败,DNS Server 瞬间就被污染,那我们该做点什么呢?  第一步,当然是让 IPv6 Tunnel恢复连...
DNS劫持/域名污染
最新发布
06-24
DNS劫持,也称为域名污染,是指攻击者通过篡改计算机的DNS解析过程,将用户试图访问的合法域名指向不法网站或恶意服务器的行为。这种行为通常发生在用户的计算机或网络设备的DNS缓存中,或者是互联网服务提供商(ISP)的DNS服务器上。 具体来说,以下是DNS劫持的一些关键点: 1. **原理**:攻击者可能会修改DNS服务器的响应记录,使用户查询的域名指向错误的IP地址,这样用户在不知情的情况下访问到了错误的网站或应用。 2. **影响**:DNS劫持可能导致安全风险,比如恶意广告、欺诈信息、数据泄露,甚至可能安装恶意软件,对用户的隐私和设备安全构成威胁。 3. **防范措施**:用户可以定期清理浏览器缓存,使用可信的DNS服务(如Google DNS、Cloudflare DNS等),以及开启操作系统或路由器的DNS安全设置。企业级用户通常会采用防DNS劫持的专用服务或防火墙规则。 4. **检测与解决**:如果怀疑遭受DNS劫持,可以通过对比正常和异常的DNS记录,或者使用在线DNS验证工具来检查。一旦发现,应立即修改DNS设置并清除可能的恶意软件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值