为什么用了阿里的 DOH 还会解析到江苏反诈? 用其他 DOH 就不会

说明反诈和 gfw 是一家

可能阿里的出口刚好也是江苏也被污染

国内都是染缸，有啥区别？

@mohumohu 这个反诈是江苏独享的, 苏州的一家非政府单位搞的反诈网站, 很多网站都被劫持污染到这个

@rsfengzi 不冲突啊，gfw 地方也没一定要统一名单，本地乐意污染一下权威 DNS 你用啥 doh 有啥用。

@rsfengzi 泉州还独享白名单呢

阿里 dns 在江苏就是有这个问题，非常的“合规”

去 itdog 上看，223.5.5.5 解析出的有几个省就是有问题的

DOH 只是保护最后一百米, 交给 DNS 服务器后, 后续请求都是明文的

DoH 和污不污染是两回事，DoH 不代表没有污染，如果 DoH 不污染的话，也没有必要使用境外 DNS 了

@thtznet 染缸也有相对干净一点的，据我个人经验 360 的 DoH 是最脏的，阿里和腾讯的 DoH 个别时候还会正确解析被污染的域名

已经放弃了 doh 了，随便吧。

运营商那边直接 UDP hijack 的，你套一层 http 看看，一般 http 就不拦截了，https 当然更好但开销大

https://github.com/Arryboom/SnowPearDNS

pages 被污染很正常，没被污染反而是漏洞

证明阿里的跟运营商是一家呗，我这里也是，用阿里跟运营商的没什么区别

证明阿里 DNS 节点就在你本地（ anycast ip 节点），你需要 DOH 节点不在你本地的才会好点

这说明阿里做的很合规啊，有啥问题

中国大陆这边的 doh 基本已经废了。 去外面自建都不行。建好过一晚上就坏了。
外面情况不清楚，因为肉身在这边。

已经放弃折腾，使用运营商 dns ，反正外网走外网的 dns

加密 DNS 不等于不污染。DOH 只是传输过程加密，简单来说就是理论上运营商看不到你请求了什么。但运营商看不到不代表阿里看不到。传输到阿里服务器解析时都是解密后明文的。所以污染你的源头就是阿里 DNS 。你用 DOH 也好，DOT 也罢，没本质区别。所以我一直认为国内加密 DNS 等同于脱裤子放屁。

@mohumohu #6
卧槽，我才知道有这事。难怪老有泉州用户反馈网络错误，我这还是备案的域名。
感谢消除信息差。

污染源头就在阿里 DNS ，换什么加密都没用，最好是换国外 DNS 解析

虽然你到 DoH 服务器的链路是加密的，但 DoH 服务器还是需要回源查询的，那一段被污染了呗

DOH 是防篡改的，不是防污染的。

举个例子：
你用 114.114.114.114 的普通 udp 请求，114.114.114.114 给你返回请求 ip 后，你的宽带运营商（比如电信、联通）是可以改掉这个 ip 的。早年运营商给用户弹出广告，就是用的这个技术。
但是，你用阿里云的 DOH 请求，DOH 给你返回请求 ip 后，你的宽带运营商就无法改掉这个 ip 了，因为中间被加密。但是 DOH 如果本身就给你发送的是错误 ip ，那这个就是 DNS 污染。

在说一句，国内的所有 DNS 都是污染状态，你也不看看它们的爹是谁。

DNSSEC 才是解决从权威服务器到递归服务器的防篡改方案。DoH 、DoT 这些只解决从你选择的递归服务器到你客户端这一段路径的加密和防篡改。

1. 国内所有公共 DNS 服务器，都需要办理《增值电信业务经营许可证》，获得 B26-1 许可；如果没有获得许可，会被通报、罚款；
2. 办理许可后，会要求 DNS 服务接入管局的监管系统；系统会下发拦截、修改等指令，相关指令被正确执行验收通过后，才能正式开通服务

所以只要是公共 DNS 都逃不开污染；前些年高校的 DNS 全都关停也是这个原因

doh 是防止运营商抢答，不是防止污染的

说明它俩有合作呗，其他没有，我发现要想上网快就用服务器多的 dns ，也就运营商、8888 和 1111 这三家

@hefish 据说得配置一下鉴权，被扫到也没事

当域名 DNS 指向 CF 江苏地区直接劫持跳转 js96110 ，唯一的解法就是不使用 CF 托管域名,切换解析后 大概半个月左右江苏地区能恢复正常访问