有没有办法确定 DNS 服务器 ( dnsmasq
) 是否正在使用 8.8.8.8?
我有一台 Google Nest Wifi 路由器,诊断报告[1] 中似乎明确指出,它将 Google 的 8.8.8.8 和 8.8.4.4 DNS 名称服务器添加到电缆调制解调器的 DHCP 中分配的名称服务器的前面[2]。由于路由器使用的是dnsmasq
,我相信我的查询实际上使用的是 quad-8,无论配置如何(可以是以下配置之一:Google、ISP 或自定义/手动;在 Google Wifi 应用中设置)。
由于 8.8.8.8 据称不进行 IP 过滤——我不知道 Comcast/Xfinity 是否进行 IP 过滤——我不知道是否有可能找到一个在两个服务器中故意解析不同的主机名。我对 、 和 足够熟悉,知道dig
如何host
查询nslookup
特定服务器(假设 ISP 中没有重定向),但我不知道一个好方法来“知道”哪个服务器正在被有效使用。
我控制两个域名的区域(通过 hostmonster 和 godaddy)。是否有一些启发式方法可以更改区域并推断哪个上游服务器可以解析它?它将缓存响应这一事实使这有点问题[3]。
(我在诊断报告中没有找到任何dnsmasq
配置文件,并且我没有路由器的 ssh 访问权限。我目前没有一种简单的机制来嗅探路由器的上游,尽管这可能是唯一权威的方法。我的私人网络上的操作系统包括 win10、mac 和 linux,并且我可以远程访问其他地方的多个 linux 主机。)
我的 ISP 的 DNS 服务器是 75.75.75.75 和 75.75.76.76(如果有帮助的话)。
脚注:
诊断报告。Google Nest Wifi 路由器有多个 API 端点,用于提供即时状态 (json) 和完整诊断报告 (gzip protobuf)。示例:
http://testwifi.here/api/v1/status http://testwifi.here/api/v1/diagnostic-report
前置。查看诊断报告,显示
/etc/resolv.conf
列表 8.8.8.8 和 8.8.4.4第一的dhcpcd
,并且的父进程之一是shill --prepend-dns-servers=8.8.8.8,8.8.4.4
。当前配置是Custom: 75.75.75.75, 75.75.76.76
(主要用于本次测试)。- 缓存。我相信 DNS 中没有禁用缓存结果的机制。https://serverfault.com/q/372066。
答案1
这是一个“大部分”的答案。
总结
OpenDNS 是一个易于访问的名称服务器,它允许人们了解非常具体的已知差异(welcome.opendns.com 和 internetbadguys.com)。也就是说,在非 OpenDNS 服务的连接上导航到这两个站点中的任何一个,您就会发现 OpenDNS 无法“保护”您免受这两个“金丝雀”(指标)的攻击。
可重复的步骤
... 确定路由器是否劫持了您的 DNS(并且您相信您可以控制名称服务器)。
导航至其中一个或两个网站。在本例中,我将使用
internetbadguys.com
。此步骤是“控制”注册 OpenDNS。这不一定是永久条件,并且基本服务(足以满足这些目的)是免费的。
配置路由器以使用 OpenDNS 名称服务器。对于我的 Google Nest Wifi 路由器,我需要使用 Google Wifi 应用(虽然我想我也可以使用 Google Home 应用?)(我不会在这里包含公布的 IP 地址:它们有据可查,我不想要一个过时的答案,以防它们发生变化。)
如果您有疑问,您可能希望或需要包括以下各种选项:清除浏览器缓存(通常
Ctrl-Shift-Del
)和清除本地 DNS 缓存(Windows:ipconfig /flushdns
,Linux 下有所不同,macos 不确定)。您可能还需要等待几分钟。(当然,internetbadguys.com
TTL 为 1,所以...它不应该花很长时间,但一些名称缓存可能会忽略 1。)
附注:就我而言,我已验证路由器是否/etc/resolv.conf
明确包含8.8.8.8
前opendns 名称服务器 IP 地址。这就是我指控 DNS 劫持的原因,现在检查它仍然显示以下内容:
nameserver 8.8.8.8
nameserver 8.8.4.4
nameserver <opendns_ip_1>
nameserver <opendns_ip_2>
options single-request timeout:1 attempts:5
再次导航到上一个(相同)URL。不要“重新加载”页面,因为它可能已被重定向,只需直接转到文字 URL。如果您的路由器(或您的计算机和 OpenDNS 名称服务器之间的任何路由器)正在重定向 DNS,那么您将看到如上图所示的图像,表示“InternetBadGuys.com 只是一个演示网站”。但是,如果 DNS 按照您的指示运行(尽管
/etc/resolv.conf
上面也显示了),那么您应该会看到类似以下内容:
就我而言,我相信路由器是不是劫持了我的网络上的 DNS 查询,但它使用四重 8 进行内部名称服务。