运营商自带的路由器似乎存在 dns 劫持...

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

谷否 | 三分谷地，为你喜欢

AI 大模型 + 柔性供应链，不仅可以为你测试香水味道，还能一件定制实体香水，快速发货。

发现精彩

Promoted by wuqiwen

PRO

这是一个创建于 370 天前的主题，其中的信息可能已经有所发展或是发生改变。

移动宽带办理时带的路由器 MA3033, 接了一个旁路由，跑 openclash, 发现连接只能显示 ip 地址，正常是会显示网址的，并且在 pc 和路由器上 nslookup www.baidu.com 10.0.0.2(向旁路由发起 dns 查询)返回的结果不一致. pc 查询结果有 ipv6, 旁路由上没有(openclash 禁用了 ipv6 解析)。

似乎是移动这个路由器劫持了内网的 dns 查询，然后我换成了刷机后的 360t7 就没有这个问题了。

第 1 条附言 · 2024-07-22 13:08:33 +08:00

比较惊讶的是内网的 dns 也劫持，以前我以为宽带 dns 劫持是向外发送 dns 请求的时候被劫持的

DNS

劫持

移动

18 条回复 • 2024-07-23 21:32:48 +08:00

geekvcn

2024-07-21 08:53:26 +08:00

不但路由器会劫持，小米手机之类的也内置了 114DNS ，很多设备为了照顾乱设置的小白，都有一个默认保底设置，我自己的路由器为了防止小米之类的设备走 114DNS ，也劫持了 53 端口所有流量

geekvcn

2024-07-21 08:55:05 +08:00

差点忘了，HTTPS 没普及前，很多路由器比如小米路由器劫持 DNS 的同时还往页面插广告。所以从那会开始我买路由器只买能刷机的

titanium98118

2024-07-21 08:55:25 +08:00 via Android

在路由器劫持 udp 53 流量

Donahue

2024-07-21 09:01:32 +08:00

@geekvcn #1 了解了

ccmove

2024-07-21 09:19:04 +08:00

搭车请教下：自己用 ikuai 拨号，主 dns 走自己部署的 adguard ，备用的就是 ikuai 的 ip ，这样应该不会出现 dns 被劫持的情况吧

someonesnone

2024-07-21 11:08:23 +08:00

所以我用安卓机+DOT/DOH

w7938940

2024-07-21 11:58:21 +08:00

运营商自己都劫持，HTTPS 没普及前，联通 4G 网微信里面打开网页右下角都有一个流量球

kumiko

2024-07-21 12:11:12 +08:00

@w7938940 一下勾起我久远的回忆

slack

2024-07-21 12:24:38 +08:00 via Android

@geekvcn 对的，我以前就发现了 MIUI 设置界面是 8.8.8.8 的 DNS 实际上是抓包发现是别的 DNS 。

Donahue

2024-07-21 12:45:20 +08:00

@slack 看来内网路由还是用可以刷机的路由器好点

R4rvZ6agNVWr56V0

2024-07-21 16:17:32 +08:00

恭喜你的发现。以前（大概 2013 年左右）杭州某数的宽带赠送的路由器也这样。

elviscai

2024-07-21 16:40:31 +08:00

@geekvcn 当年可能是 114DNS 自己插的广告: https://www.landiannews.com/archives/18431.html

A1188

2024-07-21 17:46:49 +08:00 via Android

@ccmove https://www.ikuai8.com/index.php?option=com_content&view=article&id=129&Itemid=229

kwater

2024-07-21 17:54:56 +08:00

dns 劫持的确到处都有，但这件事

有没有可能 openclash 本不认识这些域名，它只理解 ip ，
面板 UI 让你看到的域名显示辅助是一个特性，显示 domain 需要反查， [IP 反查域名] 这个特性在你那个环境（的 dns 服务）不支持，而在换了 360t7-openwrt （的 dns 服务）就工作了。

Donahue

2024-07-21 20:33:26 +08:00

@kwater 有没有可能我已经说了旁路由的 openclash 禁用了 ipv6 dns 解析，不可能返回 ipv6 地址

frencis107

2024-07-21 22:50:38 +08:00

正常，不仅路由器，新版光猫也都带 dpi 检测插件了，还支持动态下发插件。别说 dns 劫持，按域名阻断 http 连接应该也能做到。

boris1993Jr

2024-07-22 12:46:18 +08:00 via iPhone

@w7938940 #7 我那会遇到的是会在网页顶层覆盖个透明的元素，整个网页就没法滚动，点一下就跳到广告站去
我翻 network 页面发现跳去的是联通的地址，打客服反映，但他们不承认，于是我就臭骂了一顿，转天往后我的网络就正常了

intmainzero

2024-07-23 21:32:48 +08:00

电信的光猫上也有，之前进光猫 shell 之后发现直接通过 iptables 把所有 udp 53 流量转发到光猫内的 dns 服务器上