这是一个创建于 229 天前的主题,其中的信息可能已经有所发展或是发生改变。
看到最近有不少用山东联通宽带的朋友们说,因为使用 DDNS 被警告停宽带了。也有人发现自己的 DDNS 域名被屏蔽,解析结果为 127.0.0.1 。随便以“山东联通 DDNS”为关键词在网络上一搜,就可以找到很多类似的帖子:
- https://www.v2ex.com/t/940596
- https://hostloc.com/thread-816658-1-1.html
- https://www.right.com.cn/forum/thread-8084906-1-1.html
- https://www.right.com.cn/forum/thread-4204645-1-1.html
- https://www.v2ex.com/t/972451
- https://www.v2ex.com/t/940596
- https://www.zhihu.com/question/440645939
- https://www.zhihu.com/question/440645939
本人在两年前被联通上们检查过(见 https://www.v2ex.com/t/781445 ),作为类似事件的经历者之一,谈谈已知的情况吧。如果有了解相关信息的其他朋友欢迎补充。
- 据我了解,山东联通针对 DNS 解析部署了一套检测系统,来检测是否有域名的解析到了家宽的 IP 段,具体运作原理不得而知。证据:我自用的 DDNS 域名指向了家宽的 IP ,但此家宽 IP 除了 SSH 外没开放任何端口,更没有任何 web 服务。此外,当时联通的工作人员上门时给我看了一个名单,上面有每个家宽账号对应的域名、解析次数、装机地址、处置建议(一般写的是“拆机”或者“整改”,本人的写的是“拆机”)。
- 至于是否有 HTTP 、HTTPS 检测,不得而知。但因为我没有开放任何 web 服务,当时给联通写了份情况说明(大致内容是域名用于远程登录,没有开设 web 等等)就交差了。猜测山东联通同样也会有 http/https 检测,如果被检测到 web 估计要麻烦的多。
- 目前能确定部分地区会劫持 DDNS 域名至 127.0.0.1 ,不清楚是仅劫持常见 DDNS 域名还是检测 DNS 解析结果,但估计不是全省统一的,我这里没有这种情况。
- 联通的目的是查 PCDN 。两年前我被上门时,我和联通的工作人员聊了很久(那个工作人员比较懂技术,看我装的 NAS 和智能家居之类的我们聊得比较开心),给我看了好多联通的内部文件、通知、和客户沟通话术等,全是和 PCDN 相关的。
自从那次被联通上门后,目前没有被再次骚扰过(不敢说大话,说不准只是侥幸)。根据我所了解的情况,给大家的建议:
- 从目前的情况看,山东联通对 PCDN 查得很严。如果你真的在跑 PCDN ,建议停掉。
- 一定不要用家宽 IP 开 web 。如果被检测到 web ,他们就有充足的理由停你宽带了。即使你的 web 页面只是 NAS 、路由器的登录界面,以山东这地方官僚主义一刀切的作风,不用说太多大家都懂。
- 至于用 DDNS 但是不开 web 的朋友,我的建议是还是要刚一刚,不行就去投诉。使用 DDNS 但不提供互联网信息服务的情况下,不违反任何法律。运营商的目的是查 PCDN ,一刀切的他们的问题,作为用户我们理直气壮。
 |
1
bt7vip 229 天前 via Android
除了 pt 端口,ssh ,其他都走 VPN
pcdn ,其实我也想回点血,但 pcdn 那百 G 不到 1 块的价格,多挣一包烟钱就回来了,不能给他吸血。 |
 |
2
raysonx OP 此外,我发现另一个帖子 https://www.v2ex.com/t/940596 附了一张整改告知函的照片。我在两年前被查时,没有那么正式的东西,只是打电话上门检查。不清楚这个整改告知函是全省统一的模板还是某个地方自己搞的。
这个告知函里第 1 项提到 DDNS 指向联通 IP 违反《互联网域名管理办法》第三十七条这个纯粹是瞎扯。《互联网域名管理办法》全文见 https://www.gov.cn/gongbao/content/2017/content_5241917.htm ,第三十七条对应第五十一条的罚则,是对提供域名解析服务进行的规定,也就是对架设 DNS 服务器的提供商(例如 DNSPod 等)作的规定,和我们用户没有一毛钱关系。 |
 |
3
huahsiung 229 天前
针对协议,可以采用基于 udp 的 VPΝ协议。由于 udp 的特殊性。握手不对,可以不做回应,导致不确定端口是否打开。
针对解析结果为 127.0.0.1 ,使用支持 dnssec 的国外 dns 服务器,并且自己设备 dns 地址指向该 dns 地址。(反正是自己设备嘛,又不要求别人兼容) 针对 DDNS ,不承认域名是自己的,也不承认是自己指向的。不知道怎么回事。也不知道是谁指向的。 在没有端口,没有证据证明域名是自己的情况下,可以硬刚。不行就去投诉。“运营商以莫须有的理由封宽带”。 由于没有任何端口打开,仅凭一个 dns 指向是不能说明什么的。不然如果故意指向他人宽带,就能封停了 |
 |
4
acbot 229 天前  3
如果仅仅是用 DDNS 就封,那么官方光猫和其他第三方 ddns 是不是应该关门了?另外,如果我多注册几个 ddns 域名并模拟一些请求那么是不是就可以把联通所有宽带账户给封了?
|
 |
5
est 229 天前 6
还有这好事?搞几百万个二级域名把山东的 IP 段全部解析一边如何?
|
 |
6
y1y1 229 天前
哈人,v6 有事不
|
 |
7
yyysuo 229 天前
web 也开了几十个,好几年了,正规备案的域名,从来不跑 pcdn 和 pt ,没被查过。
|
 |
8
MeteorVIP 229 天前 via iPhone
广西桂林移动宽带 9 月 3 日 fullcone 掉到 nat4 。不知道是不是和严查 pcdn 有关系?我只挂 pt 而已。而且频繁重新拨号,一天两次,原来是一周一次。之前一直是光猫桥接。今天改为光猫拨号,看看还会不会重新拨号。
|
 |
9
1423 229 天前
有没有可能检测是在联通自己的 DNS 缓存服务器上做的
只要不在山东联通的网下面查询到 A 记录属于山东联通的 IP 的域名,可能就不会被发现? |
 |
10
ketor 229 天前
这个检查实测并不是所有域名检测到指向家宽 IP 都会给指向 127.0.0.1 ,正规能备案的域名解析过去是没问题的。 一般的动态域名会有问题。
|
 |
11
bao3 229 天前 via iPhone
我是山东联通,没有遇到你说的问题……
|
 |
12
xiaooloong 229 天前
如果是通过 dns 来检测那是不需要你在宽带上开放端口的,甚至不需要宽带上有任何流量。单纯通过省 dns 解析缓存里,把宽带 ip 筛选出来就行了。
比如山东联通 dns 是 202.102.152.3 ,只要有联通用户请求域名解析,202.102.152.3 就会去权威 dns 递归出域名的 ip ,缓存后返回给用户。这样只需要从缓存里查一下哪些 ip 是宽带 ip 就可以定位 ddns 用户了。 缺点是只能运营商自家查自家。如果宽带是联通,用户从电信 dns 解析,或者是阿里/114/腾讯 dns ,那么联通那边就查不到了。 |
 |
13
starlz 229 天前
之前搞了个联想个人云 A1, 那破玩意只要开机,过段时间联通就给我打电话说我挂了 pcdn, 一共打了两次,后来把它拆了就再没打过。
ddns 的域名目前只用来连 openvpn ,用了有快一年了,没出过事 |
 |
14
baobao1270 229 天前
个人猜测是运营商记录了明文的 DNS 请求,用 DoT/DoH 不知道能不能解决
|
 |
15
systemcall 229 天前
猜测是镜像一份当地的 UDP 53 流量,嗅探出来家宽的 IP 就把相关的解析记录都挑出来
只要花几十块买几个域名,再找几个当地的家宽代理,天天刷 DNS 解析,就可以把全省的宽带给干掉 |
 |
16
yaozijin 229 天前
盲猜劫持了所有 53 端口 的解析结果,可以换用 DOH 试试( DOQ & DOT 853 端口 太过明显)
|
 |
17
MFWT 228 天前
家宽开服务自用,还是建议上 VPN ,不会麻烦多少,安全性高很多
|
 |
18
Inzufu 228 天前 via Android
家用的话我感觉可以外面套层 cloudflare ,反正家用带宽的上行和 cf 免费版的速度差不多
|
 |
19
maoqiu0249000000 228 天前
我的也是这种情况,工作人员告诉我不要做解析,直接用 ip 访问就没问题
|
 |
20
Marionic0723 227 天前 via Android
@maoqiu0249000000 那动态 ip 咋办,跑个脚本 curl ,发现 ip 变了就发邮件告知新 ip ?或者是 zerotier 穿透?
|
|
21
maoqiu0249000000 227 天前
@Marionic0723 嗯,就是用脚本,获取 ip 之后用 wg
|
|
22
raysonx OP @maoqiu0249000000 那也太麻烦了,搞得用 DDNS 违法似的
|
Select Language