[ChinaDNS] 无污染的智能路由 DNS 折腾记

手上有台去年被京东云骗了买的80多rmb一年的1M小水管机子,闲着也是闲着,就打算用 ChinaDNS 项目部署一个无污染的DNS服务,其中遇到了许多坑,弄清楚了之后我觉得很有必要写一篇教程(特别是在用H大的老毛子固件上的ChinaDNS的朋友们需要看一看),其中涉及到 DNS 污染的问题是重点

Head Pic: 「There is a reason」/「极道寂」[pixiv]
"We'll always be together"

ChinaDNS

最初得知这玩意是用了H大的老毛子固件,不过实际使用的时候还是会发生一些科学无法解释的问题,于是决定拿一个 VPS 手动搭一个 ChinaDNS 的服务器来实验

关于 DNS 污染

搭建这个 ChinaDNS 的首要目的是为了解决 DNS 污染问题

首先我们来使用dig命令测试一下解析

目前我自己已知的最容易判断的污染是www.pixiv.net,即P站域名

在大陆 VPS 上测试

114 DNS

通过114.114.114.114进行查询:

root@JDu4e00u53f7:~# dig www.pixiv.net @114.114.114.114

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.pixiv.net @114.114.114.114
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 60508
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.pixiv.net.         IN  A

;; ANSWER SECTION:
www.pixiv.net.      33  IN  A   66.220.158.32

;; Query time: 21 msec
;; SERVER: 114.114.114.114#53(114.114.114.114)
;; WHEN: Thu Apr 05 17:13:02 CST 2018
;; MSG SIZE  rcvd: 58

我们发现其返回了66.220.158.32这个IP,这是用于污染 DNS 的投毒 IP 之一

OpenDNS

我们还知道,国外的 DNS 是无污染的,其中比较有名的就是 OpenDNS 和 GoogleDNS,不过因为谷歌被特殊照顾,你根本无法在大陆内使用8.8.8.8(自己在本机测试下路由追踪就懂了),但是 OpenDNS 是没问题的

通过 OpenDNS 208.67.222.222进行查询:

root@JDu4e00u53f7:~# dig www.pixiv.net @208.67.222.222

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.pixiv.net @208.67.222.222
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 56655
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.pixiv.net.         IN  A

;; ANSWER SECTION:
www.pixiv.net.      77  IN  A   66.220.152.17

;; Query time: 2 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Thu Apr 05 17:49:26 CST 2018
;; MSG SIZE  rcvd: 47

结果是出人意料的(虽然对我来说并不意外XD),结果依然是被污染的

这是为什么?

很自然的会想到,GFW 肯定对 DNS 数据包做了手脚,因为 OpenDNS 服务器位于国外,从大陆发出的数据包势必要通过 GFW,那么被做点手脚是很容易的事情了

那么怎么办?

有一个突破口就在于,DNS 的端口不一定只能用53

幸运的是,GFW 确实只会检测53端口的 DNS 数据包,而且 OpenDNS 除了53,还提供了4435353端口的 DNS 服务

通过208.67.222.222443端口进行查询:

root@JDu4e00u53f7:~# dig www.pixiv.net @208.67.222.222 -p 443

; <<>> DiG 9.10.3-P4-Ubuntu <<>> www.pixiv.net @208.67.222.222 -p 443
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 6215
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.pixiv.net.         IN  A

;; ANSWER SECTION:
www.pixiv.net.      6   IN  CNAME   pixiv.net.
pixiv.net.      41  IN  A   210.129.120.42
pixiv.net.      41  IN  A   210.129.120.41
pixiv.net.      41  IN  A   210.129.120.44

;; Query time: 108 msec
;; SERVER: 208.67.222.222#443(208.67.222.222)
;; WHEN: Thu Apr 05 18:06:33 CST 2018
;; MSG SIZE  rcvd: 104

我们看到,这一次终于返回了正确的 IP 地址结果(Yeah~

为什么使用 ChinaDNS 而不是直接使用 OpenDNS

  1. 我们必须使用非53端口去查询国外 DNS 才能得到没有被 GFW 篡改的正确解析结果,ChinaDNS 可以自定义使用的 DNS 的端口,而 Windows 系统的 DNS 设置定死了使用53端口
  2. 如果通过 OpenDNS 去解析国内网站,那么很可能会得到一个海外 IP(很多大公司都会配备有海外服务器供海外华人使用,例如京东啦淘宝啦B站啦),这样会导致访问国内网站访问速度很慢
    而 ChinaDNS 可以根据 chnrouter 来判断,如果从国内 DNS 里解析到国内 IP 的话就使用,对于国外网站会过滤掉从国内 DNS 解析得到的被污染的结果,十分完美的解决了这个问题

在大陆 VPS 上部署 ChinaDNS

# 如果 Linux 上没有安装 make 和 gcc 的话要先安装
# Ubuntu / Debian
apt-get install -y make gcc
# CentOS
yum install -y make gcc

# 下载 ChinaDNS 源码并解压编译
wget https://github.com/shadowsocks/ChinaDNS/releases/download/1.3.2/chinadns-1.3.2.tar.gz
tar -zxvf chinadns-1.3.2.tar.gz
cd chinadns-1.3.2
./configure && make

# 更新 chnouter(必要,因为源码中自带的 chnrouter 已经很旧了)
curl 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | grep ipv4 | grep CN | awk -F\| '{ printf("%s/%d\n", $4, 32-log($5)/log(2)) }' > chnroute.txt

# 更新黑名单IP列表(推荐)
rm -f iplist.txt && wget https://raw.githubusercontent.com/YKilin/ChinaDNS/master/iplist.txt

# 启动 ChinaDNS(编译好的程序在 src 目录中)
src/chinadns -m -c chnroute.txt -s 114.114.114.114,208.67.222.222:443

最后别忘记开放防火墙的53UDP端口,这一步如果你不会的话就自行百度吧(

需要注意的是,这样直接运行是在前台运行,如果你退出 SSH,程序就会终止
在正式使用场合,你需要使用nohub或者screen或者supervisor让 ChinaDNS 在后台一直运行(后面会讲使用supervisor的方法)

重点

  1. 如果不使用-s参数,那么 ChinaDNS 会默认使用114.114.114.114,208.67.222.222:443,8.8.8.8作为 DNS,这样会导致一个很严重的问题!

    前面我们说过,如果你不通过非53端口去查询国外 DNS,就会得到一个被污染的查询结果,因此如果你使用53端口的国外 DNS 作为 ChinaDNS 的 DNS,最终就会得到被污染的查询结果,从而无法解决污染问题

    并且8.8.8.8这个 IP 是被特殊照顾的,任何发往这个 IP 的请求都会被重定向到一个没人知道在哪的小黑屋里,因此就算谷歌有开放非53端口的 DNS 服务,我们也无法使用

  2. 使用H大老毛子固件上的 ChinaDNS 的时候也请一定要把8.8.8.8去掉,如果不开酸酸/酸酸乳,那么这个8.8.8.8就会污染你的 ChinaDNS 结果
  3. 你可以不用 114DNS 当国内 DNS,但是请注意使用-s参数指定 DNS 的时候,一定要把国内 DNS 写在前面,OpenDNS 写在最后面,否则会出现解析国内网站返回海外 IP 的现象(亲测

另外,不能在墙外的 VPS 上搭建 ChinaDNS:

  1. 从墙外 VPS 访问国内 DNS 查询国内网站会得到海外 IP 结果
  2. 你从大陆发往墙外 VPS 的 DNS 数据包仍会经过 GFW,这意味着你还是不能使用53端口

测试 ChinaDNS

以下是我在自己家路由器上dig的结果:

Pixiv

[MI-3 /opt/home/admin]# dig www.pixiv.net @我自建的ChinaDNS服务器

; <<>> DiG 9.11.2 <<>> www.pixiv.net @我自建的ChinaDNS服务器
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55219
;; flags: qr rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.pixiv.net.         IN  A

;; ANSWER SECTION:
www.pixiv.net.      39  IN  CNAME   pixiv.net.
pixiv.net.      39  IN  A   210.129.120.44
pixiv.net.      39  IN  A   210.129.120.41
pixiv.net.      39  IN  A   210.129.120.42

;; Query time: 183 msec
;; SERVER: 我自建的ChinaDNS服务器#53(我自建的ChinaDNS服务器)
;; WHEN: Thu Apr 05 18:50:49 CST 2018
;; MSG SIZE  rcvd: 104

解析正常√

Google

[MI-3 /opt/home/admin]# dig www.google.com @我自建的ChinaDNS服务器

; <<>> DiG 9.11.2 <<>> www.google.com @我自建的ChinaDNS服务器
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25408
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.google.com.            IN  A

;; ANSWER SECTION:
www.google.com.     300 IN  A   172.217.25.4

;; Query time: 243 msec
;; SERVER: 我自建的ChinaDNS服务器#53(我自建的ChinaDNS服务器)
;; WHEN: Thu Apr 05 18:51:05 CST 2018
;; MSG SIZE  rcvd: 59

解析正常√

B站

[MI-3 /opt/home/admin]# dig www.bilibili.com @我自建的ChinaDNS服务器

; <<>> DiG 9.11.2 <<>> www.bilibili.com @我自建的ChinaDNS服务器
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11000
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.bilibili.com.      IN  A

;; ANSWER SECTION:
www.bilibili.com.   255 IN  CNAME   bilibili.hdslb.net.
bilibili.hdslb.net. 134 IN  A   111.231.211.246
bilibili.hdslb.net. 134 IN  A   140.143.82.138
bilibili.hdslb.net. 134 IN  A   111.231.212.88
bilibili.hdslb.net. 134 IN  A   112.117.218.167

;; Query time: 166 msec
;; SERVER: 我自建的ChinaDNS服务器#53(我自建的ChinaDNS服务器)
;; WHEN: Thu Apr 05 18:51:14 CST 2018
;; MSG SIZE  rcvd: 141

解析正常√
并且解析到的结果是国内的服务器,没有跑到国外去√

综上

这样的解决方案是可行的(Yeah~

使用supervisor防止 ChinaDNS 程序挂掉

在进行以下操作之前记得先结束掉之前还在运行的 ChinaDNS 程序

  1. 安装 supervisor
    # Ubuntu / Debian
    apt-get install supervisor
    # CentOS
    # 无法通过 yum 安装,请百度参考编译安装的步骤
  2. 将配置写入 supervisor
    假设之前 ChinaDNS 源码解压在/root/chinadns-1.3.2,如果你不是这个路径请注意替换下面命令中的路径
    echo "[program:ChinaDNS]
    command=/root/chinadns-1.3.2/src/chinadns -m -l /root/chinadns-1.3.2/iplist.txt -c /root/chinadns-1.3.2/chnroute.txt -s 114.114.114.114,208.67.222.222:443
    user = root
    autostart = true
    autorestart = true" > /etc/supervisor/conf.d/chinadns.conf
  3. 重载 supervisor 配置
    supervisorctl reload

    这样我们刚才新加入的配置文件就会被读取并生效,ChinaDNS 进程将会被 supervisor 守护,万一进程挂掉就会被自动重启

搬瓦工VPS,建站稳如狗,支持支付宝,循环出账94折优惠码BWH1ZBPVK
年付$28的双向CN2线路的VPS补货了,1核/512M内存/10G硬盘/500GB@1Gbps【点击购买

我的文章对您有帮助吗?
我很可爱 请给我钱
扫一扫拿红包 → 扫商家收款码 → 转账与红包相等的金额
即可免费赞赏,又可拿支付宝奖励金!
现在支付宝超抠门的,红包只给一两分钱了
Last modification:April 8th, 2018 at 03:16 pm
If you think my article is useful to you, please feel free to appreciate

Leave a Comment

18 comments

  1. zephyru

    我突然想到一个问题..我如果在自己家架个树莓派,用来做这个dns解析..效果会不会非常好.....?

    1. 神代綺凜
      @zephyru

      是可以的(但是你直接拿个路由器刷个H大老毛子固件就自带了呀

  2. yyy

    博主啥时候做个用windows机器搭建无污染dns的教程呗,windows server自带dns服务,我搭了之后发现还是会被污染。请问windows的自带dns是向谁查询域名信息,13台根服务器么?那为什么还会被污染?

    1. 神代綺凜
      @yyy

      并不能用server自带的dns服务做无污染
      无污染是因为定义一种规则使用chnrouter去对用国内dns和国外dns查询得到的结果进行筛选,并且有一个专门的污染ip黑名单列表
      很明显,windows server的dns功能并不满足这个要求

      至于为什么直接查询国外dns(即使是根域名服务器)会得到被污染的结果,文章里opendns的例子已经讲的很清楚了

      如果要用windows搭无污染dns,可以用python版的ChinaDNS
      https://github.com/shadowsocks/ChinaDNS-Python

  3. VF

    感觉有点多余啊。可以让服务器直接通过socks5查询,再以普通的53发给客户端,当作一个缓存服务器来用

    1. 神代綺凜
      @VF

      但是这样并不能适用于国内的地域解析

  4. miemiedesu

    看起来China DNS 支持EDNS?
    我目前有一台win的小水管用的Pcap_dnsproxy直接打洞向上级DNS (8.8.8.8)请求的解析。
    没弄国内DNS但因为支持EDNS貌似解析效果也不错?

    1. 神代綺凜
      @miemiedesu

      我也只是略懂皮毛,更深的内容就不在知识范围之内了
      查了查说是EDNS能根据客户端ip解决地域解析问题?

      1. miemiedesu
        @神代綺凜

        我也是略懂皮毛

        实测Edns服务器dig会有一个client subnet负责传递客户端的公网出口IP。这样方便服务器根据客户端的IP来返回解析结果。
        我的理解是,打个比方,对于上海的DNS服务器,对北京的用户来说,不开EDNS的话,上游DNS server收到的会是来自上海的查询请求,因此很有可能返回一个上海的CDN节点IP,导致网络性能下降。支持的话就会返回北京的节点。

        貌似Edns是一种协议支持然后client subnet是某种可选项?
        要实现这个功能貌似要自己的服务器和上游服务器都支持才行。毕竟好奇China DNS有没有提供这个功能。
        PS:听说国内DNS号称支持其实支持不完全,不过因为会被污染我没有去试。不过看起来只要打开方式正确,Google其实还是知道正确的解析结果的?

        1. 神代綺凜
          @miemiedesu

          是个好文明
          不过 ChinaDNS 支不支持我就不清楚了

  5. Zero

    密密麻麻2333

    1. 神代綺凜
  6. blank_ws

    网站终于不被chrome识别为钓鱼网站了?2333

    1. 神代綺凜
      @blank_ws

      我一直都没遇到过被识别成钓鱼网站的情况啊(我用的也是chrome

      1. blank_ws
        @神代綺凜

        https://lolico.moe 这个网址是后来改的吧,我收藏的网址不是这个,是yli神马的,然后会自动跳到这个网址上(那个网址会被chrome识别为钓鱼网站

        1. 神代綺凜
          @blank_ws

          嗯,去年我就换了域名了
          那个域名是直接解析过来再301跳转的,因为ssl证书不符所以会提示安全问题,忽略之后可以跳转过来

  7. dominic

    dig 加个+trace参数更清楚些
    之前我在ipv6下测试没墙

    1. 神代綺凜
      @dominic

      ipv6当然没墙,暂时
      不过国家也说要推广v6了,不知道今后会怎么搞