场景:使用硬件路由器将网络连接到互联网。路由器使用 ISP 的 DNS 服务器,并配备最新固件(未发现任何漏洞)。DNS 缓存已禁用。据了解,所有域名通常都会解析为熟悉的 IP 地址(=> 未发现其他异常)。
近日,我们发现上述网络中出现了如下怪异事件:
几秒钟前,www.google.de 还处于正常状态,但突然无法解析到正常的美国 Google IP 范围内的 IP 地址。相反,路由器返回了一组属于单个 /24 网络的越南 IP 地址!这不是客户端工作站特有的,因为路由器日志文件中也可以看到这一点。(因此原因不可能是客户端上的恶意软件。)输出如下nslookup(审查的 IP 地址):
$ nslookup www.google.de
Nicht autorisierende Antwort:
Server: UnKnown
Address: 192.168.yy.yy
Name: www.google.de
Addresses: 2a00:1450:...
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
203.113.xx.xx
使用 Firefox 访问该网站时显示使用了奇怪的 IP 地址,但提供了正确 CN 的有效 HTTPS 证书!
大约一分钟后重试显示 DNS 解析恢复正常,并再次给出熟悉的 IP 地址。可能 www.google.de 是唯一受影响的域名。www.google.com 和其他测试名称均未受到影响。该问题无法再重现,并且不是持久性的。
你怎么看待这件事?
本地路由器或者甚至是提供商的 DNS 服务器是否被欺骗了?
我考虑引入一个本地 DNS 缓存服务器,该服务器会询问多个 DNS 服务器并比较结果,然后再将 IP 地址返回给客户端。这样合理吗?