使用dd-wrt应对电信dns劫持

hot***

最近发现在ie打开不存在的域名都会指向search.114.cn，导向一个满世广告的页面，非常令人恼火。
在ping 一个不存在的域名
C:\>ping dian_xin_is_pig.com.cn

Pinging dian_xin_is_pig.com.cn [202.102.192.167] with 32 bytes of data:
指向了电信的服务器

nslookup
C:\>nslookup
Default Server:  ns.ahhfptt.net.cn
Address:  202.102.192.68

> dian_xin_is_pig
Server:  ns.ahhfptt.net.cn
Address:  202.102.192.68

Non-authoritative answer:
Name:    dian_xin_is_pig
Address:  202.102.192.166

> dian_xin_is_pig.dk
Server:  ns.ahhfptt.net.cn
Address:  202.102.192.68

Non-authoritative answer:
Name:    dian_xin_is_pig.dk
Address:  202.102.192.166

> dian_xin_is_pig.us
Server:  ns.ahhfptt.net.cn
Address:  202.102.192.68

Non-authoritative answer:
Name:    dian_xin_is_pig.us
Address:  202.102.192.167

统统指向他们的服务器，摆明的dns劫持。

开始使用dd-wrt的访问控制的通过URL地址约束Web站点功能
加入114.search.tfol.com  search.114.vnet.cn 114.vnet.cn
只是屏蔽电信的url，dns依然被劫持，效果并不好。

使用国外的dns服务器 由于延迟太高 影响速度，也不太可行。


后来无意中在dd-wrt的管理里面发现了DNSMasq功能
那么我们可以用ping 搜集所有不存在域名指向的ip
在DNSMasq 附加选项中填入
bogus-nxdomain=202.102.192.165
bogus-nxdomain=202.102.192.166
bogus-nxdomain=202.102.192.167

应用保存，在PC机器的 dns设为路由器的ip，不然设为电信dns依然会被劫持。

现在再ping 一下域名
C:\>ping dian_xin_is_pig.com.cn
Ping request could not find host dian_xin_is_pig.com.cn. Please check the name a
nd try again.

世界终于清净了

PS:幸亏中国没有根域名服务器，不然全世界人民还不被中国电信给劫持了啊


[ 本帖最后由 hotxkx 于 2009-3-29 17:37 编辑 ]

e***

爱好用OPERA浏览器，好象没见过114，换IE立即就出来。

gg200***

说实话 我最讨厌的是电信 但不得不使用电信  感谢楼主

hot***

DNSMasq效果确实不错，我使用了两天很好 推荐大家都用下

l***

那如果不是DD-WRT的话能解决这个问题吗？比如在XP系统下

hot***

原帖由 lfm 于 2009-3-30 12:03 发表
那如果不是DD-WRT的话能解决这个问题吗？比如在XP系统下

你能建立个DNS缓存服务器就行

DNSMasq是linux下一个程序，通常用来建立dns缓存服务器的

lyjs***

感谢楼主了，另外请问一下怎么屏蔽电信的弹出广告页面？

hot***

原帖由 lyjspeed 于 2009-4-16 10:44 发表
感谢楼主了，另外请问一下怎么屏蔽电信的弹出广告页面？

访问策略里可以设置 url过滤

yyc***

已成功设置，多谢~

bab***

不粗，dd也改了

gw1***

有效！！

ash***

dns一直用 8.8.8.8

lean***

根据http://thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html试验了好久，想将baidu.com跳到g.cn上去，结果没完成这个任务。不知有办法不？

sof***

1. bogus-nxdomain=222.85.64.168
   
2. bogus-nxdomain=222.85.64.169

复制代码