首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
V2EX  ›  宽带症候群

在老家用香港 cmhk 手机卡漫游,访问 google 会被 dns 污染,在深圳广州就没有这种情况,是怎么回事?

  •  
  •   chen0717 · 139 天前 via Android · 5408 次点击
    这是一个创建于 139 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有谁碰到过这种情况,如何解决?
    78 回复  |  直到 2019-06-08 00:00:03 +08:00
        1
    hlz0812   139 天前 via iPhone
    听说过几次这个情况了,不知道技术上是如何污染到通过专线拉到境外出口的 dns 的
        2
    chen0717   139 天前 via Android
    @hlz0812 V2EX 上有很多人反映过这个情况
        3
    titanium98118   139 天前
    android9.0 可以启用 tls over dns
    ios 可以装一个 cloudflare 的 app
        4
    chen0717   139 天前 via Android
    @titanium98118 已启用加密 dns,现在能正常上网
        5
    yexm0   139 天前 via Android
    @hlz0812 你想多了。都是一家公司的网。想怎么玩就怎么玩。
    www.cmi.chinamobile.com/sc/tendering
    怕了的你换成 CSL 啊 3HK 啊 Smartone 啊不就没事了。
        6
    lidodo   139 天前
    今日发现同一情况
        7
    chen0717   139 天前 via Android
    @yexm0 问题是我的 cmhk 已经签了两年合同啊
        8
    chen0717   139 天前 via Android
    @yexm0 应该是比照不同公司的情况来处理的吧?
        9
    txydhr   139 天前 via iPad
    应该是没按照国际惯例和标准来配置漫游,估计得抓包什么的才能看出来
        10
    chen0717   139 天前 via Android
    @txydhr 你是说 cmhk 的配置还是 cmcc 的配置?
        11
    hlz0812   139 天前 via iPhone
    @yexm0 但是没有使用拜访地接入就是用归属地的 ip 和 dns 的啊,现在能抓 dns 的软件很多,有什么证据能证明用了漫游地 dns ?
        12
    chen0717   139 天前 via Android
    @hlz0812 如何抓 dns ?
        13
    hlz0812   139 天前 via iPhone
    dns 污染就只有两种情况,一种直接用了漫游地 dns,还有就是 dns 查询走了公网,墙具不具备监控和劫持专线业务的能力这个目前还不是很清楚
        14
    hlz0812   139 天前 via iPhone
    @chen0717 苹果的话下一个 surge,打开后上下网就能在抓包记录里找到响应 dns,安卓我暂时不用,可以自己查一下教程。我怀疑配置了两个 dns,一个有污染一个没污染。
    还有就是卡插到华为的 4G 路由器设备里有软件可以直接读信令看下发 dns,没有华为路由器就算了,用软件抓包肯定可以
        15
    yexm0   139 天前 via Android
    @hlz0812 那你可以慢慢研究,反正人家的招标目的就是给你 cmcc 用 cmhk 的 dns 和网关让你能上谷歌。反推让 cmhk 用 cmcc 的也是正常不过的事。
        16
    txydhr   139 天前
    https://www.v2ex.com/t/542622
    几个月前有人有相同的问题。

    两种可能吧
    1. dns 流量直接未经过母运营商,这种属于不符合规范了
    2. dns 配置有问题,比如配置了境内的 dns,流量虽然经过了 cmhk 香港,但是从境外向内地 dns 的查询也是被污染的
        17
    hlz0812   139 天前 via iPhone
    @yexm0 这个要开无忧行才能接入 cmhk 的 APN 吧?普通的国际漫游我试过 ip 是北京移动的,无忧行是香港中信的 ip (不是 cmhk 的 ip )
    关键他的 ip 是 cmhk 的啊,如果改成拜访地接入 ip 就暴露了,这才是无法理解的地方,而且有人抓过 dns,返回污染结果的 dns 也是 cmhk 的
        18
    chen0717   139 天前 via Android
    @hlz0812 那是不是因为 cmhk 的 dns 配置不正确才被内地的 dns 污染的?
        19
    hlz0812   139 天前 via iPhone
    @chen0717 cmhk 的 dns 是香港本地的,而且漫游时确实也是请求的香港 dns,我个人认为墙已经在专线上部署了,只不过一般人不用专线,所以没有引起较大反应,专线上很可能也存在审查设备,只是没有公网的墙严
        20
    chen0717   139 天前 via Android
    @hlz0812 但是 cmhk 的客服向我保证在内地是无墙的,而且我在广州和深圳也确实没有墙
        21
    hlz0812   139 天前 via iPhone
    @chen0717 可以是部分省的网关在转发流量时不是硬件转发,所以漫游地也可以对流量进行审查。就像电信的光猫可以对桥接模式下的流量进行过滤和控制,显然也不符合标准,理论上桥接的流量外部设备也是无法干扰的,所以可能是软件转发流量,就可以劫持了,如果加密流量,软件桥理论上就无法劫持流量
        22
    shermano   139 天前
    感觉可能是不同地区 DNS 设定的问题:

    看 DNS 是不是被污染了,可以 ping 一下可以通的 apple.com ,看返回的地址合不合理。理论上来说香港卡访问 apple.com 会直接用在香港或者其附近的知名 CDN (比如 Akamai Tech )而不是折返回内地,用内地运营商的 CDN。如果无故折返内地,则说明 DNS 有污染。而且我还发现在污染的情况下,google.com 有时指向的是 facebook.com

    我最近用 CMHK 卡在不同地方的漫游测试结果:
    广州:apple.com 被导向内地的城市。
    深圳:没有发现问题。
    长沙:apple.com 被导向内地的城市。
    苏州:没有发现问题。
    徐州:没有发现问题。
        23
    txydhr   139 天前
    @shermano 这么说感觉还是配置错误导致使用了墙内的 dns。墙不污染 apple.com ,你在内地使用香港的 dns 也应该返回香港的 cdn。
        24
    txydhr   139 天前
    @hlz0812 感觉墙应该不会随意审查专线,即使有技术,因为这个技术你只敢用在几家中资的海外运营商,能想到的就是 cmhk 和 zong。其他运营商你不敢用呀,那就属于劫持别人的通信了。
        25
    chen0717   139 天前 via Android
    @shermano 那你有没有向 cmhk 反映这个问题?
        26
    chen0717   139 天前 via Android
    @txydhr zong 是什么?
        27
    shermano   139 天前 via iPhone
    @chen0717 暂时还没有。估计是内地这边的 dns 配置问题吧…… 感觉香港那边也不太能保障内地运营商承运的网络漫游的质量......
        28
    hlz0812   139 天前 via iPhone
    @txydhr 我觉得是移动自己搞了 dns 抢答,没考虑到 dns 污染问题,墙那边没有理由要求把漫游的人墙了,联通有的地方也这样
        29
    chen0717   139 天前
    @shermano 这种问题香港那边应该能够解决的
        30
    shermano   139 天前 via iPhone
    @chen0717 刚刚打了客服电话。已经反馈这个情况给 cmhk。他们给不了具体的解决时间。同时,客服还说有其他客户也反映了类似的状况。这个需要 cmhk 的技术人员和内地方面反映,才能解决。但是内地又很大,不同地区的配置情况又不同,所以......香港那边只能保证在香港那边配置是正确的,到了内地之后服务质量可能受限于当地运营商。目前的解决就是:等待吧……等哪一天修好了……
        31
    hlz0812   139 天前 via iPhone
    @shermano 只要有多个地区出现问题,那肯定集团公司要求这么搞的,你觉得会有这么巧合的事吗?不同省想一起了
        32
    shermano   139 天前 via iPhone
    @hlz0812 @chen0717 目前根据我的经验,发现部分地区的省会城市有这种现象。最近去过的地方湖南长沙有 dns 污染,广东广州有;浙江杭州却没有。其他城市一般没有.....
        33
    lucifer9   138 天前
    不知其他国外运营商,比如 Fi 的漫游,是不是也受类似影响呢
    如果 Fi 漫游走移动也有类似现象,那么 DNS 的可能性就比较大了
        34
    txydhr   138 天前 via iPad
    @lucifer9 目测不敢
        35
    txydhr   138 天前 via iPad
    @chen0717 中国移动巴基斯坦 哈哈😄
        36
    txydhr   138 天前 via iPad
    @hlz0812 有可能,估计 cmhk 和 cm 之间的漫游没有加密,导致移动的劫持服务器没有排除掉 cmhk 的漫游用户。我也想到了,但是移动网络也会和宽带一样劫持 dns 么。
        37
    xiaocongcong   138 天前
    在新加坡用了几天 cmhk,不用翻真的爽歪歪。回来之后好郁闷
        38
    hlz0812   138 天前 via iPhone
    @lucifer9 其他运营商也有,但是 90%都是大陆运营商海外分公司的卡出问题
        39
    hlz0812   138 天前 via iPhone
    @txydhr 我觉得是故意搞的,劫持移动网络的技术和宽带劫持的技术肯定不一样,我觉得是网络里加装设备,把发往 cmhk 的 dns 请求转发给大陆的 dns 服务器,然后假装成 cmhk 的 dns 返回结果,可能本来只是为了加快 dns 解析,没考虑到这个问题,某部门应该不会丧心病狂到要求运营商劫持海外用户流量吧
        40
    snoopygao   138 天前
    18 美元 1 年的 changeip(鲨鱼机房) $$起飞
        41
    chen0717   138 天前 via Android
    @shermano 刚才客服也回复我了,说是香港这边的配置没问题,会去调查我老家那边的情况
        42
    leido   138 天前
    移动有拜访地接入,但是香港的卡应该是直接走香港 ggsn 的,各地区设置不同吧。
        43
    txydhr   138 天前
    @hlz0812 我记得移动 n 年前发文说明了使用第三方 dns 可能对移动用户造成“用户体验下降”,所以很多地方就搞了 dns 劫持,cmhk 应该是误伤。
        44
    hlz0812   138 天前 via iPhone
    @txydhr 但 dns 劫持非公网流量也是第一次见,好比你挂了 v 上网,移动还能劫持你的 dns 一样,正常来说本地 dns 劫持根本没法劫持专线上的流量
        45
    chen0717   138 天前 via Android
    @xiaocongcong 你那里的 cmhk 也被污染了吗?
        46
    Kowloon   138 天前 via iPhone
    今天在深圳刚用了 CMHK 没发现问题
        47
    foru17   138 天前 via iPhone
    cuniq hk,坐标深圳也有 google 被污染的情况,我群里也已经有两三个人反应了,西安广州都有,我是用 1.1.1.1 解决了。
        48
    txydhr   138 天前 via iPad
    @hlz0812 可能没加密?有点类似于 ipv6 tunnel 也会被劫持和 reset ?虽然已经是专线了但是还是触发了关键词
        49
    txydhr   138 天前 via iPad
    @txydhr 唉,毕竟不是专业的,不知道从连接的中国移动基站到 cmhk 香港机房这段具体怎么配置的,有没有国际通用的标准。
        50
    hlz0812   138 天前 via iPhone
    @txydhr 可能移动用公网建立隧道回源了,隧道回源有几种方式:
    1.运营商间点对点专线
    2.公网上建立 v p n
    3.专线连接到国际网络交换中心(实际也是专线,节省投资而已)

    公网基本没几家用的
        51
    xieyudi   135 天前 via Android
    4 楼的 "已启用加密 dns,现在能正常上网" 很有意思。
    据我了解墙是分多种的。 正常来讲,dns 污染设备是在地级市都会有一套。各种 http/https 发 reset 往往是在出口前一跳。

    我想应该是 dns 查询无状态所以更容易识别,所以全国大规模部署;而后者需要保存状态,需要用大量计算资源(集群),所以集中处理。anyway 重点是显然这两套系统是分开部署的。

    照理说如果是拜访地接入,那么享受的恐怕就是普通强国内网的待遇了,解决了 dns 污染肯定还是上不了网的。所以不可能。

    如果是纯粹的归属地接入,如果是 DNS 配置了大陆的 DNS 才出问题,那加密访问也不行,所以不可能。如果 DNS 配置了墙外的 DNS,那一开始就不应该有问题。

    所以感觉可能解释是,某些地方的移动的 DNS 无差别劫持,然后误伤到漫游用户。劫持后因为过墙,所以还是被墙。

    还有种可能就是有意为之,单独部署了一套 DNS 抢答设备。毕竟到处都是。
        52
    xieyudi   135 天前 via Android
    我前阵子在美国使用 AT&T 的卡是发现了一件事。感觉劫持 DNS 请求是国际惯例。

    背景:我自己写了一个小型 DNS 服务器,部署在我的服务器上,用于动态解析。监听 UDP 53。这个服务器除了相应标准的请求外,还会接受一些我自定的非标准的命令(比如更新 A 记录,这样我家里 IP 地址变动是就向其发送一个这种包),和 DNS 一样都是由 UDP 53 完成(懒得再监听其他端口)。

    我在家里的网测试,不管是 DNS 请求还是别的,都是通的。
    诡异的是,我在用 4G 测试时,只有发送标准的 DNS 请求,服务器才收得到(当然那一头源 IP 是 AT&T 的网关)。如果往 UDP 53 发送非标准数据,另一头就收不到。

    理论上 IP 网应该都是至少在传输层 /应用层透明的才对,可是这个事说明运营商会对 UDP 53 应用层的数据进行分析,分流,过滤。
        53
    hlz0812   134 天前 via iPhone
    @xieyudi 感觉有意为之可能性较大,因为一般意义上的 dns 抢答用于公网,隧道回源都可以被劫持那大概率在专线上有审查设备,毕竟传输的协议都不一样
        54
    chen0717   134 天前
    @hlz0812 已经反映了好几天了,还没解决,已经打电话去催了
        55
    leido   134 天前 via Android
    楼主不提供一下被劫持时候手机公网 ip 吗?
    ip 都没看到就一堆猜测拜访地接入的
    看一下手机分配的 dns 地址是什么
    该自己解决的一定要问别人吗
        56
    chen0717   134 天前 via Android
    @leido 早就测试过了,分配到的是百分之百的香港 ip,至于分配到的 dns,请问怎么看
        57
    leido   134 天前 via Android
    @chen0717 下个 Best trace ( ipip.net 出品)
        58
    chen0717   133 天前 via Android
    @leido 测出来的 dns 该不会只是内网地址吧?
        59
    leido   133 天前
    @chen0717 没有哪个运营商的 dns 是内网地址
        60
    txydhr   133 天前
    @hlz0812 纯假设:也有可能 cmhk 的流量到地市级或者省级机房才进入专用隧道回港(反正在墙之前),而当地的 dns 抢答设备设在了区县甚至基站处,而国外运营商可能从基站处就进入专用隧道了。
        61
    hlz0812   133 天前 via iPhone
    @txydhr 基站是直接接入专用环网的,dns 抢答设备肯定是专门放置的
        62
    txydhr   133 天前
    其实排除法就可以看出来了
    楼主看一下 www.qq.com itunes.apple.com www.google.com 这三个的解析结果
    正常漫游 前两者返回香港的 cdn 最后一个返回正常结果
    如果是墙的劫持 前两者返回的是香港的 cdn 最后一个解析结果污染
    如果是本地移动的劫持 前两者返回的是国内的 cdn 最后一个解析结果污染

    或者楼主开个 nslookup www.qq.com 123.45.67.89 如果有结果返回就是本地移动 dns 劫持
    也可以参考 http://nstool.netease.com/
        63
    txydhr   133 天前
    @hlz0812 主要是 cmhk 和 cm 间不一定这么配置
        64
    hlz0812   133 天前 via iPhone
    @txydhr 排除法也不行,移动是选择性劫持的,就是干扰,但是没完全劫持
        65
    skylancer   132 天前 via iPhone
    @leido 我想知道有多少家运营商的 Celluar DNS 直接指着公网?要不举个例子?
        66
    hlz0812   132 天前 via iPhone
    @skylancer 国内三家的 dns 就全是公网,江苏电信 218.2.2.2/218.4.4.4,北京电信 219.141.141.10/219.141.136.10 ,北京移动 221.179.155.209
        67
    skylancer   132 天前 via iPhone
    @hlz0812 然而香港运营商都不是,并不适用

    @yexm0 然而事实上一样有问题,因为我就在用着
        68
    skylancer   132 天前 via iPhone
    @hlz0812 另外我看了下,深圳联通移动都不是
        69
    skylancer   132 天前 via iPhone
    手滑了.. 联通电信才对,移动没卡了
        70
    yexm0   132 天前 via Android
    @skylancer csl? 1010? sun mobile? 3HK? Smartone? 自由鸟?
        71
    skylancer   132 天前 via iPhone
    @yexm0 csl, 3, smc 全都是上台 plan
        72
    yexm0   132 天前 via Android
    @skylancer 在哪用的?我在深圳,以前用过两年 3,现在用了半年 csl 没见到用不了谷歌系服务
    i.imgur.com/b8awHvB.jpg
        73
    skylancer   132 天前
    @yexm0 就在深圳,而且 [重点是] 说的不是用不了 Google 系服务而是有 DNS 污染
        74
    hlz0812   132 天前 via iPhone
    @skylancer 解析几个内地香港都有 cdn 的看看,看看解析出哪的
        75
    skylancer   131 天前
    @hlz0812 当然是香港...
        76
    skylancer   131 天前
    @hlz0812 估计你们能想到的我都试过了
        77
    chen0717   131 天前 via Android
    @hlz0812 今天 cmhk 回我电话,说解决不了我老家用不了 google facebook 的问题,说是因为当地的运营商配置有问题
        78
    ccav   130 天前
    UDP 劫持而已.所有的 53 端口 UDP 全部劫持.
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   3420 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 28ms · UTC 04:42 · PVG 12:42 · LAX 21:42 · JFK 00:42
    ♥ Do have faith in what you're doing.