这是一个创建于 1762 天前的主题,其中的信息可能已经有所发展或是发生改变。
这两天反复的为住处的网络问题折腾,之前以为是 ipv6 线路问题,等把 ipv6 停掉了,才发现原来我们这本地运营商的 ipv4 DNS,也开始投毒,具体的讲就是某些域名它给你返回 127.0.0.1 。。。这还不是什么特殊网站,只是微软家的一个短地址解析服务,导致 VS 不能更新,给工作带来了极大困扰。
不得已我终于开始上诸如 simple-dnscrypt 这样的 DNS 解析软件,但是我发现上了这类软件后产生了新的问题,首先就是这类软件为了保证效果,是要求你的 DNS 析都从它这里走,也就是说,适配器里自定义 DNS 必须是 127.0.0.1 。这确实有效的对抗了 DNS 干扰,但是带来一个副作用就是访问网站(尤其是国内网站)的响应和加载速度大大降低。因为以前这些国内网站走运营商 DNS 查询速度是很快的,而现在走 simple-dnscrypt 的话,查询 dns 的结果的延迟可以达到秒级别;还有一个完全没法忍的问题是,走 simple-dnscrypt 的话,国内很多网站的 CDN 加速,就工作不正常了,可以明显的看到浏览器不是访问的最快的 CDN 服务,就导致这类网站的静态资源加载速度比用运营商 DNS 时慢的不止一点。放狗查了一下发现还真有描述这个现象的文章:叫使用公共 DNS 必须付出的代价之一,就是这个 CDN 失效问题,因为公共 DNS 不一定能让 CDN 识别你的请求来源。
我该咋办了呢?是不是我的使用姿势不太对。感觉这年头上个网还真折腾。
不得已我终于开始上诸如 simple-dnscrypt 这样的 DNS 解析软件,但是我发现上了这类软件后产生了新的问题,首先就是这类软件为了保证效果,是要求你的 DNS 析都从它这里走,也就是说,适配器里自定义 DNS 必须是 127.0.0.1 。这确实有效的对抗了 DNS 干扰,但是带来一个副作用就是访问网站(尤其是国内网站)的响应和加载速度大大降低。因为以前这些国内网站走运营商 DNS 查询速度是很快的,而现在走 simple-dnscrypt 的话,查询 dns 的结果的延迟可以达到秒级别;还有一个完全没法忍的问题是,走 simple-dnscrypt 的话,国内很多网站的 CDN 加速,就工作不正常了,可以明显的看到浏览器不是访问的最快的 CDN 服务,就导致这类网站的静态资源加载速度比用运营商 DNS 时慢的不止一点。放狗查了一下发现还真有描述这个现象的文章:叫使用公共 DNS 必须付出的代价之一,就是这个 CDN 失效问题,因为公共 DNS 不一定能让 CDN 识别你的请求来源。
我该咋办了呢?是不是我的使用姿势不太对。感觉这年头上个网还真折腾。
 | 1 INTEL2333 2020-12-12 15:17:06 +08:00 via Android 分流 境内 cdn 域名走运营商 dns,剩余走 tls://8.8.8.8 分流的上游配置我只做了 adguardhome 的 有人要的话回复下,我看到了就发 |
 | 2 dot2017 2020-12-12 15:17:09 +08:00 冒着被喝茶的风险自搭 |
 | 3 wd 2020-12-12 15:17:34 +08:00 via iPhone 用一些可以分流的 dns |
 | 4 abcbuzhiming OP |
 | 7 Xymmh 2020-12-12 15:32:19 +08:00  1 个人推荐使用 OneDNS ( www.onedns.net/personal ) 提供的公共 dns 服务 , 这个 dns 是我研究网络以来,发现的解析结果最接近运营商的 dns,并且没有过度污染。 |
| 8 INTEL2333 2020-12-12 15:36:48 +08:00 via Android @abcbuzhiming 对的 境内 cdn 域名走境内的 dns 其他域名尽量走无污染的并支持 ECS 特性的 dns 我境内 cdn 域名用的 223.6.6.6 因为是在 vps 上跑,用 119.29 会导致百度和七牛之类的 cdn 不是最优解(吐槽一下百度和七牛的 edns |
| 9 wd 2020-12-12 15:50:49 +08:00 via iPhone @abcbuzhiming #4 就是可以国内域名走一个 dns 国外域名走另一个 |
| 10 abcbuzhiming OP @INTEL2333 问题在于,那么多域名,我怎么知道哪些域名是国内的,哪些是国外的,还会说哪里有维护一个列表,定时更新就行了? |
 | 12 m4d3bug 2020-12-12 16:52:14 +08:00 via Android overture 自建,云服务器供应商限制特定网段白名单,china ip 文本塞进去 |
 | 13 imn1 2020-12-12 16:56:30 +08:00 其实快慢更多是取决 dns cache 吧,只是首次查询慢而已,我是接管了 TTL,改为 20 小时,一天内变 ip 的那些网站不是我关心的 |
| 14 INTEL2333 2020-12-12 18:14:13 +08:00 via Android @abcbuzhiming github 有人维护 list |
 | 15 CrazyBoyFeng 2020-12-12 18:14:27 +08:00 clowwindy 的 chinadns 我还在用。感觉挺好用的,兼顾速度和准确性。 同时向本地和加密两个 dns 服务器发出查询请求,本地 dns 返回境内 ip 就用本地的,本地 dns 返回境外 ip 就抛弃等待加密 dns 返回结果。 |
 | 16 leavic 2020-12-12 18:21:05 +08:00 这年头不折腾还怎么上网。 |
 | 17 Lightbright 2020-12-12 18:23:02 +08:00 via Android 用国内的安全 dns 呗,阿里腾讯都有提供 |
 | 18 jameslucas 2020-12-12 18:34:45 +08:00 1 长期实践,chinadns 还是最佳的方案。 |
| 19 CrazyBoyFeng 2020-12-12 18:48:28 +08:00 |
 | 20 loukky 2020-12-12 19:32:51 +08:00 via Android 把上游 DNS 设置成无污染 DNS,比如中科大的 |
 | 21 bilibilifi 2020-12-12 19:45:38 +08:00 via iPhone 搭建一个 unbound 的 DNS over TLS |
 | 22 NSAgold 2020-12-12 19:53:42 +08:00 via Android smartdns 上游红鱼 |
 | 23 465456 2020-12-12 19:55:18 +08:00 广州电信,遇到某些网站,国外的 DNS 是投毒(劫持),国内公共的 DNS 是污染( DNS 服务器的 DNS 本身就是错,没有劫持),别问我怎样知道,dns tracert 查到线路的 |
| 24 465456 2020-12-12 19:57:47 +08:00 clash 的 rule 模式上网不香吗? DNS 染污就染污,国外域名全部走梯子,照样可以打开国外网站 |
 | 25 Kiriya 2020-12-12 20:36:45 +08:00 pi hole 或 adguard home 可以解决 |
 | 26 zro 2020-12-12 21:07:16 +08:00 在海外的 VPS 搭了不对外公开的 ADGuard Home,设的上游是 Google TLS,本地 dnsmasq 带上 add-subnet,用了小半年了,暂时只发现阿里系和 B 站不能愉快地用 Google DNS,只好设成国内某家支持 ECS 的 DoT,试了一小些其他域名跟本地 ISP DNS 对比,IP 数据都一样。。 |
 | 27 Darkatse 2020-12-12 21:10:33 +08:00 1 用支持 EDNS 的无污染 DNS,原理就是请求 DNS 的时候带上源地址信息,DNS 服务器会返回源地址就近的节点,避免了国内有节点但返回的地址却是国外的情况 可以看看 NextDNS 的关于 EDNS 的文章 https://help.nextdns.io/t/m1hmv04/what-is-edns-client-subnet-ecs |
 | 28 ericbize 2020-12-12 21:11:20 +08:00 家里用 mikrotik, 默认策略本地电信 dns, 特殊域名直接 劫持 走 vpn |
| 29 ericbize 2020-12-12 21:11:54 +08:00 然后特殊域名 自己要用什么就定义, 用 layer 7 识别 |
 | 30 lishen226 2020-12-12 21:14:34 +08:00 连不上就打洞 |
| 31 zro 2020-12-12 21:14:39 +08:00 @bilibilifi #21 用了一阵子,unbound 为了安全,连 cname 都要查一遍才有数据。。 |
 | 34 LukeChien 2020-12-13 00:47:46 +08:00 via Android 走非标端口的 DNS 可以解决大部分问题 |
 | 35 lostberryzz 2020-12-13 01:14:32 +08:00 clash 可以配置 dot 和 doh |
 | 36 Vegetables 2020-12-13 08:16:45 +08:00 via Android 最好的办法还是按照域名分流,国内直接本地 DNS 解析,CDN 就正常了 |
| 37 INTEL2333 2020-12-13 09:08:55 +08:00 1 @GhostTc @Smash sorry 鸭,昨天忘记了.... https://www.cattery.work/%E4%B8%8A%E6%B8%B8.txt list 来自 https://github.com/hq450/fancyss/blob/master/rules/cdn.txt 记得选并行查询并勾选 EDNS |
| 38 INTEL2333 2020-12-13 09:27:32 +08:00 2 |
 | 40 missdeer 2020-12-13 10:09:11 +08:00 我用 肥猫的大陆域名列表进行分流,适用于 99.99%的情况 |
 | 42 Alwaysonline 2020-12-13 10:29:28 +08:00 国内 223.5.5.5 国外强制走 8.8.8.8 |
 | 43 txydhr 2020-12-13 12:02:42 +08:00 via iPhone @abcbuzhiming gfwlist 呀,没被封的域名走运营商 dns,被封的走特殊渠道 |
 | 44 justin2018 2020-12-13 12:53:46 +08:00 |
 | 45 no1xsyzy 2020-12-13 14:30:19 +08:00 “若投毒则返回 127.0.0.1”是稳定现象吗?是的话应该可以在本机上建一个 SNI proxy…… 反正解析到 127.0.0.1 也可以被 SNI proxy 正确重定向 TCP 流量。 或者写个 DNS 服务器,遇到 127.0.0.1 的时候走其他路线重新来。 |
 | 46 openbsd 2020-12-13 15:00:19 +08:00 最近投毒有点厉害,是某种攻击吗 ? 电信自家的 DNS,好几次连百度都打不开 |
 | 47 yyysuo 2020-12-13 16:51:51 +08:00 分流+过期缓存 |
 | 48 systemcall 2020-12-13 19:23:19 +08:00 @openbsd 以前在长城宽带上见过 是想跳转到别的网站,再给本来要访问的网站加上自己的返利链接。如果你的电脑上面很多广告软件,应该是可以成功跳转的。黑吃黑而已。普通用户,就要用到 OpenWRT+ChinaDNS |
 | 49 z888888cn 2020-12-13 21:54:33 +08:00 以前 GoAgent 里自带的 dns server 分流就很好用。 |
| 50 z888888cn 2020-12-13 22:04:21 +08:00 推荐 DNS2SOCKS 、pdnsd-TCP |
 | 51 fengxing 2020-12-14 01:37:12 +08:00 1 推荐使用 Pcap_DNSProxy,虽然作者删库跑路了,但是可以去下载别人 fork 的内容,我感觉这个是最好用的。 这个虽然能安装即用,但是有非常非常非常丰富的可设置内容,具体的可以看文档。 |
 | 52 onion83 2020-12-14 09:54:17 +08:00 via iPhone smatdns 或 dnsmaq 做黑名单分流 |
 | 53 brMu 2020-12-15 07:18:06 +08:00 via Android 阿里云的 DoH+smartdns |
 | 54 jiub 2020-12-17 23:05:42 +08:00 via iPhone 本地 dns |
 | 55 FlyingShark 2020-12-18 11:29:11 +08:00 其实 360 的 DOH 服务还行,我知道你们看不上,真的还行 https://dns.360.cn/dnsPublic.html#course |
 | 57 IDAEngine 2020-12-21 00:29:10 +08:00 via iPhone @465456 有劫持 53 端口到附近的电信 服务器,你 tracker 一下 53 端口的微博 udp 流量就知道了 |
| 58 465456 2020-12-21 15:40:13 +08:00 |
Select Language