跳至主要內容
  • Hostloc 空間訪問刷分
  • 售賣場
  • 廣告位
  • 賣站?

4563博客

全新的繁體中文 WordPress 網站
  • 首頁
  • 突然发现阿里的 DoH 还挺有意思的~
未分類
2020 年 5 月 16 日

突然发现阿里的 DoH 还挺有意思的~

突然发现阿里的 DoH 还挺有意思的~

資深大佬 : marquina 5

用我写的ts-dns配置一下(顺便打个广告,哈哈):

[groups]   [groups.ali]   doh = ["https://dns.alidns.com/dns-query"]   rules = ["twitter.com", "baidu.com"] 

我这里直接 ping 阿里 DNS 延迟大概是 5ms,用 DoH 的话第一次解析需要 80ms 左右,但后续解析不到 10ms (毕竟有 keep-alive ),延迟表现相当令人满意,可以考虑替换原来的 UDP DNS 。

我们都知道,DoH 相比传统 DNS 的一个优势是可以直接拿到 client ip,但比较蛋疼的是,阿里的 DoH 会在 DNS 响应里强制显示 client ip,而 Google 等厂商的 DoH 是不显示的(除非手动指定 client-subnet ),以后贴 dig 结果的时候要小心了。

$ dig -p 5305 baidu.com ... ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ; CLIENT-SUBNET: xxx.xxx.xxx.xxx/32/24 ;; QUESTION SECTION: ;baidu.com.   IN A  ;; ANSWER SECTION: baidu.com.  31 IN A 220.181.38.148 baidu.com.  31 IN A 39.156.69.79 ... 

但最有意思的还是差别待遇。解析敏感域名,如果将 client-subnet 设成墙内 IP (比如直接在墙内请求),就会返回污染后的结果;但如果将 client-subnet 设成墙外 IP,就会返回未被污染的结果……满满的嘲讽感,23333

$ dig -p 5305 twitter.com +subnet=223.5.5.5 ... ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ; CLIENT-SUBNET: 223.5.5.5/32/24 ;; QUESTION SECTION: ;twitter.com.   IN A  ;; ANSWER SECTION: twitter.com.  85 IN A 69.171.235.16 ... $ dig -p 5305 twitter.com +subnet=8.8.8.8 ... ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ; CLIENT-SUBNET: 8.8.8.8/32/24 ;; QUESTION SECTION: ;twitter.com.   IN A  ;; ANSWER SECTION: twitter.com.  30 IN A 104.244.42.1 ... 

不知道这 BUG 多久修复。

大佬有話說 (12)

  • 資深大佬 : jinqzzz

    全球工单系统

  • 主 資深大佬 : marquina

    用狮城的梯子确认了一下,阿里的 DoH 是根据 client-subnet 的位置来决定是否返回污染结果的。
    也就是说在国外使用阿里 DoH 没有问题,但如果此时将 client-subnet 指定为国内 IP,就会返回被污染的结果,666 。

  • 資深大佬 : avastms

    也不一定是阿里的问题,阿里这服务器也是中间服务器,具体结果都是从权威来的,也有可能是到权威的查询被墙污染 d 的结果,只是映射了墙的骚操作而已。

  • 資深大佬 : shikkoku

    突然发现阿里的 DoH 还挺有意思的~ 那我怎么办才能拿到正确的解析并且又不会把高延迟的节点解析给我呢?

  • 資深大佬 : XGHeaven

    DoH 是啥?

  • 主 資深大佬 : marquina

    @shikkoku 按域名分流呗~如果是用我的 ts-dns,那就是:未被污染的域名匹配 clean 组,被污染的域名匹配 dirty 组,两组都配置阿里 DoH,然后在 dirty 组配置 client-subnet 。
    不过既然都分流了为啥不直接用墙外的 DoH or DoT……不对墙内的 DoH 抱有任何期望才是正道。

  • 主 資深大佬 : marquina

    @XGHeaven DNS over HTTPS 的缩写

  • 資深大佬 : shikkoku

    突然发现阿里的 DoH 还挺有意思的~ 恐怕要等好用的 openwrt luci 版撸出来才会用了。

  • 資深大佬 : zro

    @shikkoku #8 现在的版本不好用吗?我是加个代理用 4 条 8 。。

  • 資深大佬 : Love4Taylor

    那么现在阿里的 DoH 支持 HTTP/2 了么。

  • 資深大佬 : Love4Taylor

    @Love4Taylor 好的,支持
    突然发现阿里的 DoH 还挺有意思的~

  • 資深大佬 : leido

    很简单, 阿里在国外有递归查询节点,国外的 client ip 使用国外的节点查询,自然没被污染。
    并且这个特性和 DoH 无关,我用 udp 测试一样的(墙内)

    dig @223.5.5.5 +subnet=8.8.8.8 www.facebook.com

    ;; ANSWER SECTION:
    www.facebook.com. 15 IN CNAME star-mini.c10r.facebook.com.
    star-mini.c10r.facebook.com. 15 IN A 185.60.216.35

文章導覽

上一篇文章
下一篇文章

AD

其他操作

  • 登入
  • 訂閱網站內容的資訊提供
  • 訂閱留言的資訊提供
  • WordPress.org 台灣繁體中文

51la

4563博客

全新的繁體中文 WordPress 網站
返回頂端
本站採用 WordPress 建置 | 佈景主題採用 GretaThemes 所設計的 Memory
4563博客
  • Hostloc 空間訪問刷分
  • 售賣場
  • 廣告位
  • 賣站?
在這裡新增小工具