使用DNSSEC预防反诈的DNS劫持？

2023-10-18 14:37

Zephyrus

209

日常,日记本

995 字

3 分钟

已经鸽了一个月没有发文章了，因为最近一直在忙于学业没什么时间上网（

本想安安心心做一只咸鱼，每天划划水就行，但是前几天有群友反馈我的网站在湖北地区有无法访问的情况，我一测，哦！原来是被武汉反诈解析到本地了！

前几个月刚把江苏反诈摆弄明白，现在武汉又来捣乱，这一天天国内做个站是真难（）

还好我找到了他们的邮箱发送了邮件，处理速度也很快，24小时就给我解开了。

后来没过几天又有全国各地不同用户反馈访问网站时显示“被重置”报错，按理来说这是被拦截的典型标志，但是我去测试没有发现解析到本地或者反诈的，于是便去咨询了腾讯云客服，结果发现CDN里面有两个江苏宿迁的节点被拦截了。

后面经过查询得知，原来我已经在今年四月被宿迁机房拉黑了（你干的好啊）

虽然已经解除拦截了，但是显然江苏那边当时没向这个机房提交加白，所以现在宿迁的节点都用不成了，用户访问只要解析到这个节点也会被显示重置。

得知原因后我就联系CDN那边为我去掉了宿迁的节点，这下才解决问题。

但是我又想主动出击，早就听说开启DNSSEC似乎可以预防反诈跳转，正好现在域名没被污染，不如打个预防针的好。

我用的是腾讯云的DNS，DNSSEC这个功能是付费的，cloud flare这个功能则免费。但是考虑到二者国内解析速度差了大概十倍（30/300 ms），我还是付费买了专业版的解析套餐。

说干就干，因为DNSSEC不支持@记录的CNAME解析，所以首先我准备根据实际需求自选CDN节点IP，这里经过测速分别为境内外选择了两条最快的线路，亲测全绿。

考虑到单个节点可能存在宕机的情况，我又为每个IP添加了备用节点，这个是D监控的付费内容。

但是专业版用户只能加一个备用IP，所以这里我用了负载均衡添加了多个IP，然后每个IP再放一个备用IP，最后把需要启用的IP在负载均衡里开到最大即可。

这里由于权重只能为1-100整数，所以不能百分百地解析到自选IP，略有遗憾但无伤大雅。

现在基本差不多了，也成功开启了DNSSEC，虽然感觉哪里怪怪的，但是目前看起来一起正常，等哪天出了问题再排查吧！本文只是为广大博主提供一个思路，不能完全照搬！因为我隐隐觉得哪里配置不太对（

事已至此，摸鱼要紧，告辞~

2023/10/19更新策略：

境内：

112.192.19.145

121.22.248.18

222.211.73.208

222.211.73.226

222.211.73.76

境外：

103.186.64.225

104.218.234.91

104.218.234.94

121.127.249.101

139.99.4.174

15.235.192.23

172.83.153.162

188.165.226.81

全线：

220.167.100.226

220.167.100.227

51.79.212.198

IP宕机切换规则：停止解析该域名记录（智能暂停）

境内DNS解析权重：222.211.73.208优先

境外DNS解析权重：均等负载

文末未特别声明时，以下内容有效。
本文标题：使用DNSSEC预防反诈的DNS劫持？
本文作者：Zephyrus
本文链接：https://zyq.today/archives/131775
版权声明：本站采用 BY-NC-SA 进行许可。转载请注明出处！

cdn GFW 反诈故障教程日常日记本

Therese Dare

土耳其

2 年前
2024-5-09 15:36:15

Somebody essentially lend a hand to make significantly posts I might state That is the very first time I frequented your web page and up to now I surprised with the research you made to create this particular put up amazing Excellent job
- Zephyrus
  博主
  Therese Dare
  
  Windows Chrome
  辽宁省沈阳市移动
  
  2 年前
  2024-5-09 16:14:37
  
  Thanks for compliment.(Add punctuation PLZ. LOL : ))
电脑星人

Windows Chrome
广东省深圳市电信

2 年前
2024-1-11 19:28:40

这种 DNS 劫持，是在运营商的 Local DNS 上进行的，应该可以直接返回没有 DNSSEC 的查询结果（降级攻击），所以说开启 DNSSEC 在这种劫持里面可能是起不到作用的。
如果不想让自己的网站被劫持跳转到其他网站的话，可以考虑将自己的域名添加到浏览器的 HSTS Preload List，这样浏览器会对你的域名始终使用 HTTPS 访问
https://hstspreload.org/

这种 DNS 劫持，是在运营商的 Local DNS 上进行的，应该可以直接返回没有 DNSSEC 的查询结果（降级攻击），所以说开启 DNSSEC 在这种劫持里面可能是起不到作用的。如果不想让自己的网站被劫持跳转到其他网站的话，可以考虑将自己的域名添加到浏览器的 HSTS Preload List，这样浏览器会对你的域名始终使用 HTTPS 访问 https://hstspreload.org/
- Zephyrus
  博主
  电脑星人
  
  Android Chrome
  亚太地区
  
  2 年前
  2024-1-12 10:22:52
  
  感谢大佬解答！其实在DNSSEC之前我就有研究过HSTS Preload，但实际上如果被劫持，即使启用ssl加密，仍然会返回链接已关闭的错误
- - 电脑星人
    
    Zephyrus
    
    Android Chrome
    广东省深圳市电信
    
    2 年前
    2024-1-13 3:14:00
    
    确实如此。在劫持这种场景里，HSTS 主要起到的作用是让劫持的内容不能正常展示出来（因为劫持的网站没有你的域名的有效的 HTTPS 证书），从而避免信息泄露或者误导访客之类的
Sean

Windows Chrome
广西桂林市电信

2 年前
2023-12-17 12:36:50

看来，你的网站做得还是不错滴；
竟然被盯上了。
365cent

Macintosh Chrome
美国

2 年前
2023-10-20 23:24:38

喔喔，大佬好多机子
- Zephyrus
  博主
  365cent
  
  iPhone Safari
  香港电讯盈科有限公司
  
  2 年前
  2023-10-20 23:35:37
obaby

Macintosh Chrome
山东省青岛市移动

2 年前
2023-10-19 9:44:34

学习一下。
节点 ip 变更是个问题，烦人啊。
总不能写个脚本再去自动更新 dns 配置吧？这也太累了喵
- Zephyrus
  博主
  obaby
  
  iPhone Safari
  台湾省台北市
  
  2 年前
  2023-10-19 9:52:49
  
  这篇文章是我昨天下午写的，但是因为当时比较着急，所以昨晚我又优化了一下策略，今天下午再更新文章吧~
  理论上默认，境内，境外一共三十条节点，只要有一个正常的网站就能正常访问，所以只要cdn那边更换ip不是特别频繁，可能半个月一个月维护一次，把不能用的ip换掉就可以了
  
  这篇文章是我昨天下午写的，但是因为当时比较着急，所以昨晚我又优化了一下策略，今天下午再更新文章吧~ 理论上默认，境内，境外一共三十条节点，只要有一个正常的网站就能正常访问，所以只要cdn那边更换ip不是特别频繁，可能半个月一个月维护一次，把不能用的ip换掉就可以了 :amashiro.natsuki-121:
空空裤兜

Windows Chrome
甘肃省庆阳市电信

2 年前
2023-10-19 8:48:33

这通折腾，做个站真难啊
- Zephyrus
  博主
  空空裤兜
  
  iPhone Safari
  台湾省台北市
  
  2 年前
  2023-10-19 8:51:10
  
  是咩，折腾了一下午加一晚上，而且还要长期维护，这个ip一变我就得更新~