V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jqknono
V2EX  ›  DNS

某厂商防止 DNS 拦截的大聪明手段

  •  
  •   jqknono · 29 天前 · 3645 次点击

    近日 DNS 公共服务有 IP 有异常访问行为, 每秒数十次重复的请求一个域名, 完全不遵循 DNS 协议, 不理会全局生存时间 (TTL)值.

    开始时以为该 IP 是攻击者, 观察流量后发现, 主要是某厂商的 App 在疯狂请求 DNS. 后端设置的TTL=10表示接收到的 DNS 查询返回值生命周期为 10 秒, 这 10 秒内请求者都应该使用这个返回值, 而不是再次请求 DNS 服务器. 但该 App 每秒数十个相同请求, 说明该 App 没有按照 DNS 协议正确处理 TTL 值. 后台拦截请求统计里, 有 90%以上的请求都是该域名.

    可能该厂商知道有 DNS 拦截的手段, 采取了你不让我访问, 我就让用户 App 直接 DoS 攻击你的 DNS 服务器的方式. 由于后端同时设置了相同 IP 每秒只允许 20 次突发请求, 该大聪明行为同时会影响到用户的其它正常 DNS 查询, 影响其它 App 的正常使用.

    运维看到这样单 IP 疯狂请求同一域名的行为, 不想放行也得放行了.

    14 条回复    2024-11-02 09:17:34 +08:00
    mooyo
        1
    mooyo  
       29 天前
    不要直接拦截,给他返回空地址就行了
    gcod
        2
    gcod  
       29 天前
    没拿到解析记录就会尝试重新获取,返回个假地址给他就好了
    cleanery
        3
    cleanery  
       29 天前
    返回一个 fakeip 比如 198.18.0.3 顺便攻击下用 clash fakeip 的默认设置的人
    defunct9
        4
    defunct9  
       29 天前
    下毒噻
    jqknono
        5
    jqknono  
    OP
       29 天前
    @cleanery

    不错的建议, 留一下 IP ,方便表达感谢.

    ![]( )
    simplove
        6
    simplove  
       29 天前
    我是在上面配置 DNS 重写到 127.0.0.1
    leon2023
        7
    leon2023  
       29 天前
    毫无底线可言😰
    proxytoworld
        8
    proxytoworld  
       29 天前
    我只觉得他是写错了逻辑。
    CC11001100
        9
    CC11001100  
       29 天前
    @jqknono 哈哈哈
    dddedd
        10
    dddedd  
       29 天前
    我 adguard 拦截的 IP 填的某流氓厂家 IP
    molezznet
        11
    molezznet  
       29 天前
    默认不就是返回空白 ip 0000 ,
    除非自己手动选择了 refused 吧?

    拦截模式
    默认:被 Adblock 规则拦截时反应为零 IP 地址( A 记录:0.0.0.0 ; AAAA 记录:::)
    REFUSED:以 REFUSED 码响应请求
    NXDOMAIN:以 NXDOMAIN 码响应
    空 IP:以零 IP 地址响应( A 记录 0.0.0.0 ; AAAA 记录 ::)
    自定义 IP:以手动设置的 IP 地址响应
    jqknono
        12
    jqknono  
    OP
       29 天前
    @molezznet
    @mooyo
    @gcod
    是返回的全 0, 只有该域名是不断高频请求
    zli
        13
    zli  
       29 天前
    运维看到这样单 IP 疯狂请求同一域名的行为, 不想放行也得放行了.

    =================================================================

    AdGuard Home -> 过滤器 -> DNS 重写 -> 添加 DNS 重写 -> *.toutiao.com/360.cn -> 保存
    catsimple
        14
    catsimple  
       29 天前
    防 DNS 拦截还不简单...直接内置 DOH 服务就行了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2542 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 05:02 · PVG 13:02 · LAX 21:02 · JFK 00:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.