V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
aries1998
V2EX  ›  DNS

怎么屏蔽一个网段防止 dns 投毒

  •  
  •   aries1998 · 2015-11-28 19:25:39 +08:00 · 4603 次点击
    这是一个创建于 3283 天前的主题,其中的信息可能已经有所发展或是发生改变。
    dnsmasq, chinadns 貌似都只能一个 ip 一个 ip 的屏蔽, pcap_dnsproxy 貌似可以整个网段屏蔽, 但是解析域名貌似有问题, 没有 chinadns+pdnsd 稳定.

    求一个 dnsmasq 或者 chinadns 屏蔽整个网段 ip 的方法, 被无耻的移动宽带搞的郁闷了.
    11 条回复    2015-12-02 00:41:08 +08:00
    Daniel65536
        1
    Daniel65536  
       2015-11-28 19:41:30 +08:00 via iPhone
    用 iptables 可以解决
    aries1998
        2
    aries1998  
    OP
       2015-11-28 19:52:34 +08:00
    iptables 解析 dns 协议丢掉这些包么?
    snsd
        3
    snsd  
       2015-11-28 19:54:45 +08:00
    其实我就想知道什么是 Chinadns ?直译是中国 dns?百度了很久都没有找到答案
    lanlanlan
        4
    lanlanlan  
       2015-11-28 19:55:22 +08:00
    直接 TCP 方式请求上级 DNS 就好了
    aries1998
        5
    aries1998  
    OP
       2015-11-28 19:58:45 +08:00
    chinadns 是个 dns 防投毒的工具

    tcp 方式是 pdnsd 用解析国外域名, 这块没问题, 国内的如果用 tcp, 一定会出现跨网访问的问题, 比如移动宽带用 tcp 访问 8.8.x.x 解析很多国内域名. 基本都会解析到电信甚至国外服务器去, 这样国内访问会非常慢.
    aries1998
        6
    aries1998  
    OP
       2015-11-28 20:59:32 +08:00
    只能用 iptables 顶一顶, 可能不太靠谱, 只是粗暴的匹配的了 ip 的前 4 位然后丢弃,暂时看是没什么问题的, 不知道会不会有什么其他问题.

    iptables -t mangle -I PREROUTING -p udp --sport 53 -m string --algo bm --hex-string "|78CA|" --from 60 --to 180 -j DROP
    isbase
        7
    isbase  
       2015-11-29 09:07:31 +08:00 via Android
    ChangHaoWei
        8
    ChangHaoWei  
       2015-11-29 19:41:41 +08:00
    @isbase duckduckgo is a good tool!
    a84945345
        9
    a84945345  
       2015-11-30 11:49:47 +08:00
    额··看成了 CloudXNS
    buddha
        10
    buddha  
       2015-12-01 20:54:13 +08:00
    其实如果已经用 dnsmasq 的话 为什么不在配置文件里强制用支持非 53 端口的 dns 来 query 呢?

    server=/#/208.67.220.220#5353
    aries1998
        11
    aries1998  
    OP
       2015-12-02 00:41:08 +08:00
    @buddha 没有非 53 端口 dns 的资源啊, 你这个挺好啊, 啊哈哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1320 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 17:46 · PVG 01:46 · LAX 09:46 · JFK 12:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.