求推荐靠谱的防 dns 污染方案

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2810 天前的主题，其中的信息可能已经有所发展或是发生改变。

入了一个 Google Home，需要配置路由器全局，用的树莓派

也用 redsocks 转发了流量

然而，DNS 解析这一块还没解决，结果老是被污染返回了一堆 fb 的 ip

试了一些方案，试图绕过坑爹的 UDP

henices/Tcp-DNS-proxy 这个，似乎是基于 TCP 协议，但是不知道为什么，访问日志里依旧出现 69.171.247.32 这种 IP

还试了腾讯的 httpdns，吹的天花乱坠，但是返回结果依旧是被污染的

还剩下一个 dns.google.com 基于 https，理论上没有问题，可是没有找到转换的代码

要是没有其他方案的话，就要自己造轮子了。。。

第 1 条附言 2018 年 5 月 3 日

解决啦

问题在于 home 使用了内置的 DNS，所以无论我在路由器上怎么设置都无效

转发 53 端口流量，强制走路由器 DNS，可以解决这个问题

```bash
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 5353
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 5353
```

第 2 条附言 2018 年 7 月 31 日

看来 DNS over HTTPS （ DoH ）是未来的趋势啊，浏览器已经在开始原生支持了，期待 Chrome 的更新。

图解基于 HTTPS 的 DNS

http://www.infoq.com/cn/articles/a-cartoon-intro-to-dns-over-https

第 3 条附言 2019 年 4 月 5 日

最后是基于 cloudflare 提供的 1.1.1.1 DoH 服务搭建了一套全局透明代理网关。

过程可见 https://blog.newnius.com/setup-global-proxy-with-raspberry-pi.html

DNS

污染

69.171.247.32

树莓

54 条回复 2019-09-01 15:19:26 +08:00

Cipool

2018 年 5 月 2 日 via Android

直接换用位于国内的无污染 DNS 试试
@googlehosts #防污染 DNS
主要服务器：140.143.226.193 （非实时查询上游，5 分钟缓存）
备用服务器：120.132.13.50 （实时查询上游，无缓存）

whatsmyip

2018 年 5 月 2 日

@Cipool 我在教育网，试过中科大的，no luck

love4taylor

PRO

2018 年 5 月 2 日 via Android

如果你到 Google Public DNS 不丢包不被完全劫持的话可以试试 chinadns2, 利用 EDNS 防抢答...

LazyZhu

2018 年 5 月 2 日

防污染可以用:
DNS over HTTPS
DNS over TLS
DNSCrypt

推荐 DNS over HTTPS
客户端:
https://github.com/m13253/dns-over-https
https://github.com/aarond10/https_dns_proxy
https://developers.cloudflare.com/argo-tunnel/downloads/

支持 DNS over HTTPS 的 DNS:
Google:
https://developers.google.com/speed/public-dns/docs/dns-over-https
Cloudflare:
https://developers.cloudflare.com/1.1.1.1/dns-over-https/

rosu

2018 年 5 月 2 日 via Android

有点疑问，既然是全局，为什么还会被污染？

whatsmyip

2018 年 5 月 2 日

@rosu 网络所在层不一样，先解析得到 IP，然后才转发

hzqim

2018 年 5 月 2 日

假设你用的是 OpenWRT，而且已经有了 socks5 ；
来一个 dns2socks 走 socks5 向 8.8.8.8 询问 ip，还支持 CDN。
采用支持 regex 的 dnsmasq 通过关键字（而不是域名）走 dns2socks5 进行解析，国内的域名走 ISP 分配的 DNS 解析，因为免去了维护网址的步骤，特方便。
这个方案，只要 socks5 能通就能正确解析，若 socks5 不通，防污染也失去了意义。

目前最满意的方案！

rosu

2018 年 5 月 2 日 via Android

@whatsmyip 这样子的话...不是和没有梯子没什么区别吗？不知道我有没有理解错。

因为 DNS 本身也会被投毒的，如果不在本地 PAC 做判断，DNS 也不一定能返回正确结果给你的吧？

LazyZhu

2018 年 5 月 2 日

@hzqim
还有一种方法
只要 DNS 支持 ECS( https://en.wikipedia.org/wiki/EDNS_Client_Subnet),就可以指定 ECS 为代理 IP 也可以获得最好的解析.

Cipool

2018 年 5 月 2 日 via Android

@whatsmyip 中科大支持 5353 端口解析
我发的那两个支持 2333 端口解析
换用特殊端口应该可行吧

t123yh

2018 年 5 月 2 日 via Android

https://github.com/shawn1m/overture 分流了解一下

hzqim

2018 年 5 月 2 日

@LazyZhu #9 谢谢指点，在你身上学到很多，感恩！

chotow

2018 年 5 月 2 日 via Android

歪个楼，为什么被污染的，都会解析到 FB ？

whatsmyip

2018 年 5 月 2 日

@Cipool 重置了一下，依旧。。。

songz

2018 年 5 月 2 日

树莓派弄个 pi hole

MacTavish123

2018 年 5 月 3 日 via Android

@rosu 印象里这种都是内置 8.8.8.8，而不是用路由器分配的。所以几种路由器插件都有一个 DNS 劫持功能

EsWann

2018 年 5 月 3 日 via Android

纯净无污染 DNS： https://pdomo.me

bazingaterry

2018 年 5 月 3 日 via iPhone

GitHub 搜 overture

chenyx9

2018 年 5 月 3 日 via Android

我只是推断，不敢肯定。很可能如 16 楼所讲需要劫持 8.8.8.8 到路由，我的 Chromecast 就是这么干的。

maowu

2018 年 5 月 3 日 via Android

8.8.8.8 支持 tcp 嘛，考虑一下自己劫持 dns 查询丢到隧道发出去

ysc3839

2018 年 5 月 3 日 via Android

@whatsmyip no luck 是什么意思？还是被污染？

isbase

PRO

2018 年 5 月 3 日 via Android

ChinaDNS

zhengzhou518

2018 年 5 月 3 日

@LazyZhu 哥们你说的这种方式是否有设置的视频教程啊，对于新手来说

wzw

2018 年 5 月 3 日

哪个域名被污染了, 我怎么很久没这样的感觉了

jasonyang9

2018 年 5 月 3 日

@rosu #8 是的啊，各个层面都可以干扰你

keramist

2018 年 5 月 3 日 via Android

前端加个 k2 刷 padavan 强制路由解析搞定

lbp0200

2018 年 5 月 3 日 via Android

PRCDNS
目前正在搞优化版

catinred

2018 年 5 月 3 日

你需要的是这个 https://github.com/jedisct1/dnscrypt-proxy

HandSonic

2018 年 5 月 3 日

现成的方案太多了啊，dnsproxy、DNSCrypt、Pcap_DNSProxy、ChinaDNS 等等……

des

2018 年 5 月 3 日 via Android

@chotow 同问，是不是干掉这些就好了

jhytxy

2018 年 5 月 3 日 via iPhone

我记得 koolshare 的固件里都集成好了的...开箱即用

whatsmyip

2018 年 5 月 3 日

@xiaozecn
@chenyx9
@keramist

确实是因为 home 内置了 DNS 导致我在路由器上怎么设置都不行，而手机和电脑明明都是可以的

强制转发 53 端口流量，解决了这个问题

```bash
iptables -t nat -A PREROUTING -p udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -p tcp --dport 53 -j REDIRECT --to-ports 53
```

whatsmyip

2018 年 5 月 3 日

@Cipool 你给的 DNS 应该是可以的，问题在于 home 内置了 DNS，没有用路由器的设置

whatsmyip

2018 年 5 月 3 日

@LazyZhu 这个很给力

whatsmyip

2018 年 5 月 3 日

@hzqim 这个我找到的文档都没有。。。

whatsmyip

2018 年 5 月 3 日

@ysc3839 对，home 用了内置的 DNS，路由器上设置的无效

ETiV

2018 年 5 月 3 日

https://1.1.1.1

前两天不是新出了个吗~

whatsmyip

2018 年 5 月 3 日

@chotow
@des

不一定是 fb，有时候是 twitter，感觉是随机，之前就被指到了国外某私人服务器

我记得 chinadns 似乎就是这个原理？发现给出了错误 ip 就丢弃这个

但是现在一直在升级，很难预先知道返回的是不是正确的

presoul

2018 年 5 月 3 日 via Android

用 cloudflare websocket 翻墙有过解析到 fb
一般没感觉过劫持~

feather12315

2018 年 5 月 3 日 via Android

推荐这个教程，直接全局 UDP 流量
https://www.zfl9.com/ss-redir.html

lbp0200

2018 年 5 月 3 日

https://github.com/aarond10/https_dns_proxy
这个应该是最符合你的解决方案了

des

2018 年 5 月 3 日 via Android

@whatsmyip 原来是只有固定四个，现在随机的池子多吗？

hicdn

2018 年 5 月 3 日

https://github.com/aa65535/openwrt-dns-forwarder + https://github.com/aa65535/openwrt-chinadns
稳定运行一年左右了，自动区分境内外地址, ss+dns-forwarder+chinadns

下面是作者几年前写的方案 @aa65535
https://sourceforge.net/p/openwrt-dist/wiki/DNS/

faicker

2018 年 5 月 3 日

[https://github.com/faicker/pychinadns]( https://github.com/faicker/pychinadns)

faicker

2018 年 5 月 3 日

@faicker 支持 cdn，解决了 twitter 返回 fb 地址这样的问题。配合 dnscrypt-proxy。

tzungtzu

2018 年 5 月 21 日

请问楼主你的 calendar 可以正常使用不，我的好像有问题，别的一般问题可以正常使用。

whatsmyip

2018 年 5 月 21 日

@tzungtzu 我没有用到这个功能。。。应该没有问题吧

tzungtzu

2018 年 5 月 22 日

@whatsmyip 你一般用哪些功能呀～

whatsmyip

2018 年 5 月 27 日

@tzungtzu v2 的提醒功能似乎有点问题。一般就是 "Hey Google, play some music"、"Hey Google, news today"，最近在折腾跟米家互动

tzungtzu

2018 年 5 月 27 日

@whatsmyip 我现在也是 music 为主，连 yeelight 是不是米家要用美国或者新加坡服务器？

whatsmyip

2018 年 5 月 27 日

@tzungtzu 这个应该无所谓吧，就是延迟高点

wzw

2018 年 6 月 27 日

@Cipool #1 140.143.226.193 这个 dns 谁做的呀

Cipool

2018 年 6 月 27 日 via Android

@wzw 已经注明了 tg 群组 @googlehosts 的维护者

mattx

2019 年 9 月 1 日

@Love4Taylor 你说的 chinadns2 是梅林科学上网工具的吧？