一般运营商的 dns 劫持也是抢答么

没记错的话，DNS 应该是 udp53 ？
劫持目的地址 udp53，指向自己搭的

路由劫持

DNS 协议就是这样的 以最先回答的为准

udp 无连接可以劫持，本质就是抢答。

而且没记错的话 DNS 也是随机应答的，正常情况下不会总是一台服务器应答。

@fangdingjun 这样的话 udp dst 53 的包就出不去了吧

直接把所有发到 UDP 53 的包转发到自己的 DNS 服务器就好了，不用抢答这么麻烦。

感觉楼上计算机网络都学的特别好

写个工具验证下就好了。注册个域名 ns 到自己服务器上，看看返回的结果后自己服务器上有没有日志。

问个问题 是不是用 https2.0 的话运营商很难劫持？

@iPhone8 #8
劫持的话 ，其实看原理吧， 公网只谈 IP 协议，NAT 的话 一般是 UDP 发出去，然后 只有对应的 IP 的 53 端口才能响应数据回来，简单的来讲是 本地 ip udp 3123 -> 远程 ip udp 53 ，远端 ip 只能 53 端口 往回发到本地的 3123， 远端换个 ip 或者换个端口 这个 NAT 就根本通不过

@iPhone8 #8 所以总结的话 ，应该就是直接劫持了 IP 报文，然后伪造了一个 IP 报文

@mengdisheng https 还有 2.0 ？涨姿势了

@misaka19000 写错了。。http2 好像防劫持跟 http2 没什么关系

用 dnssec 岂不美哉

把 dns 请求重定向到自己的服务器上就行了

@goofool #16 IP 报文 过不了 NAT，不光重定向，IP 报文的源地址 也要修改

@q397064399 一般家用路由器都是 full cone，哪有过不去的

@mt7620 我这的网络不劫持, 想知道劫持的地方的网络是什么情况

@goofool #19 那不是路由器管理权限 也能监听 公网的 udp 端口了？

@goofool 不管通过抢答还是伪造路由，做戏肯定做全套啊，除了 ttl 和响应时间间隔不屑于 /不能伪造，其它的和真的一样，才不管你什么类型 nat 呢

@goofool #19 好吧，确实是我孤陋寡闻了，对 NAT 的模式 没了解清楚

@ytjfmv 青岛移动 dns 解析 nslookup www.youtube.com 8.8.8.8 永远是 127.0.0.1
@q397064399 赞同老哥的说法, 伪造了 IP 报文
我自己本地起了一个走 http 的 dns 解析服务, 凑活能上网了, 辣鸡移动 [doge]

我是这么劫持内网 DNS 请求的，下面 2 条规则应用到主路由上面，不然 chromecast 这种不走默认 DNS 的设备，会被污染。

iptables -t nat -I PREROUTING -i br0 -p udp -d 8.8.4.4 --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -I PREROUTING -i br0 -p udp -d 8.8.8.8 --dport 53 -j REDIRECT --to-ports 53

@shiina 我比较关心的是 除了常见的 dns 被劫持, 其它的 udp dst port 53 的数据能发出去么

@mt7620 那些运营商是劫持常见 dns 的 ip 呢还是所有符合 udp 53 的包都劫持呢

@p64381
只劫持特定 ip，还是 udp 53 都劫持，这个要看 isp 良心了吧？

@p64381 我这边其他的可以发出去, 只有部分国外网站劫持

@q397064399 大多数情况下运营商和路由器的 nat 都是不判断源 IP 的，不然可能会对某些 p2p 游戏造成一些困扰
你说的这种叫 Symmetric NAPT，现实中用的很少

@flyingheart #30 好吧，很尴尬.. 确实孤陋寡闻了

呵呵，那是缓存劫持。我以前就是 DNS 及 teamviewer 吧主