网络:广东移动宽带; dns:opendns/Umbrella 的 doh ,https://146.112.41.2/dns-query
opendns 直连的延迟: https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/b56511701fdaccbb63925acb7041307179547202.png
opendns 代理的延迟: https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/9a270a8aec8e880ec683f30538bdf0fa79547202.png
dnspod 直连的延迟: https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/fdfefe325e0b43654482f6cd553105a879547202.png
为什么 opendns 直连比代理还快?最低延迟居然去到 27ms
 |
1
AEnjoyable 5 天前 via Android
看一下路由,说不定在 hkCMI 和 opendns 的域有 peer ?
|
 |
2
docx 5 天前 via iPhone
广移去香港这个延迟也正常吧
|
 |
3
LnTrx 5 天前
如果证书是有效、可信的就不是劫持
|
 |
4
billccn 5 天前
DoH 的意义是只有 IP 的拥有者才可能被签发含有该 IP 的证书,这样中间人要攻击的话需要控制一个 CA 才行。
之前乱发证书的 CA 被发现以后都被浏览器除名了,相当于商业自杀。 |
 |
5
jackOff 5 天前
你这个查询路由该不会是 adguardhome 吧?扫描通用端口加这种路由一抓就能发现一堆自建 dns 服务器,阿祖建议收手吧
|
 |
6
Danswerme 5 天前
|
 |
7
znsb OP @jackOff 不是,我用一款叫“dnspyre"( https://github.com/Tantalor93/dnspyre)的 dns 性能测试工具做测试的
|
 |
8
jim9606 5 天前 via Android
一般要搞你是直接阻断 doh 连接等你回落到传统 dns
|
|
9
znsb OP |
 |
11
wheat0r 5 天前
Anycast IP 是有可能被被运营商投毒的,运营商自己控制 BGP ,伪造一个 IP 地址并不困难。
但是证书就是另一个问题了。 |
 |
12
jqknono 5 天前
tls 不能劫持, 但是能阻断.
只有收到消息和收不到消息, 保证消息不会被篡改. v 站发图可以用 imgur |
 |
15
pcitme 5 天前
本地劫持延迟只有 1 或者 2ms 都 20 多了肯定正常啊
|
 |
17
avrillavigne 5 天前
 复制图片地址,手机 chrome 没得 |
|
18
AEnjoyable 5 天前 via Android
@znsb #9 路由是正常的没有劫持
同上,如果运营商想要劫持 doh ,不管怎么样都得对证书下手 |
|
19
znsb OP 好的感谢哥们指导
|
Select Language
