京东云路由器是否做了内网DNS劫持？

have***

先上家里的一个简易布线图

设置：
1. 局域网由PI提供DHCP服务并将DNS指向自己做AD过滤
2. 路由器关DHCP，开无线
3. 路由器PPoE上网，DNS为自动获取，这里为电信的222.222.222.222


问题：发现手机不能访问NAS(自定域名nas.net)，经测试有线设备获取到的 nas.net 地址与无线设备获取到的 nas.net 地址不同。

1.  PC 有线上网，关WIFI，此时获取nas.net的IP为192.168.100.101，正确，见下图


2. PC无线上网，断有线，此时获取nas.net的IP为216.145.110.98，错误，见下图
虽然PC的DNS依旧为PI，但此时无线设备所请求的域名不是从PI返回的，导致内网的AD过滤也失效了。



3.  拿了个TP的路由器，直接插京东路由上，TP路由器 动态获取IP 并开了 WIFI。
PC 无线连 TP路由器 上。此时 PING 域名nas.net，返回地址为192.168.100.101，正确。
已确定这是京东路由器LAN口的交换芯直接将DNS请求转发至内网DNS的原因，所以才没被劫持，详见6楼的测试。


4. 将路由器的PPoE拨号所获取的DNS手动改为192.168.100.100，所有无线设备全部不能上网，但有线设备不受影响。
有线不受影响，是因为内网的DNS服务器有域名缓存的原因，而未被缓存的域名同样无法访问。

5. 闲着无事，重新做了下6楼的测试， 发在了 19楼，这回直接抓包了。

个人总结：
加上在 6楼 和 19楼 的测试，已确定京东云路由器做了DNS劫持并假冒原 DNS 服务器返回查询结果。
即使你在客户端设置成其它的 DNS，所请求的域名也是由京东云返回的。
至于它做劫持是主动还是无意，反正官方肯定说是无意的，至于你信不信反正我信了。
这玩意现在主业是 CDN，副业才是路由器。

书***

就不干净，强制不让当用无线ap用

have***

书桩 发表于 2020-1-30 14:06
就不干净，强制不让当用无线ap用

无线AP功能，不是说已经在开发中了么，年前没做出来，所以跑年后了。

书***

haven200 发表于 2020-1-30 15:08
无线AP功能，不是说已经在开发中了么，年前没做出来，所以跑年后了。

多少年前的老tp路由器，关闭DHCP，网线插lan口，都可以当无线AP用，京东这就是故意的！不要脸！

啦啦啦***

这么不干净

have***

我去，每编辑一次帖子都要做一次审核……
昨晚家人都睡觉后，进行了有线网络测试
先说结果：确定京东云路由器做了内网DNS劫持，即所有发往外网的DNS请求都由它返回，即使你的客户端设置了不同的DNS

测试时的设置：原布局不变(同主贴)，将京东路由器的外网DNS改为任意一个IP(非DNS服务器)
然后PC有线上网，用 nslookup 进行了测试

结果不用说了，无法返回正确的IP地址。

主贴的测试3，能返回正确地址，应该是京东云的交换芯片直接将DNS请求给转发走了，所以京东云路由器没有拦截成功。

PS：我知道 ddwrt 固件有个选项” DNS 重定向“，是用 iptables 将所有内网的 dns请求 跳转至路由器本身，效果和京东云现在一样，但 ddwrt 可以自主选择使用与否。
至于京东云路由器是否是主动劫持内网 DNS 就不得而知了。


以下为这么长时间使用京东路由器的感受。
1. 做为路由器，BUG太多，居然连访客网络这么基本的功能都做不好。它的访客网络只是换了个网段，但访客与主网可以 PING 通，对，你没看错，双方可以通信。
2. WIFI 的稳定性还不错，以它的 WIFI 做主，在家里使用了近 3 个星期吧，从信号覆盖与信号质量来还不错。
3. 劫持内网 DNS，导致上面 2 那唯一的加分项也没了。


对了，京东云路由器的自动更新没关过，现已将京东云路由器撤为二级路由关了WIFI，还在网管交换机处做了端口隔离将它与内网隔离开了。
手机截了个图，省得有人说我在这里黑京东。
看下图，它还在做极力的上传数据，CPU利用率平均在20%左右吧。
我看京东云路由器做二级路由时从来不申请UPNP来打开端口，即使不让它做DMZ主机也不影响它上传数据。
抓过一次它的包，全是UDP协议，估计使用了"UDP打洞"的技术来穿透NAT做的P2P吧。
随它吧，现在只当它是个CDN设备，不当它是路由器了，年后看积分情况，不行就出了。

have***

书桩 发表于 2020-1-30 20:50
多少年前的老tp路由器，关闭DHCP，网线插lan口，都可以当无线AP用，京东这就是故意的！不要脸！

其实京东路由器也可以做无线AP，按你说的TP方式就可以。但这样做的结果是无法上传数据不能得积分了。

而现在京东在做的无线AP功能是解决路由器做无线AP时不能得积分的问题，和你说的无线AP不是一码事。

童***

楼主试下用 Wireshark 对DNS解析抓包，看看是谁先返回的第一个 DNS
倾向于京东云在路由器抢答DNS包，目前好的解决办法是DNS over HTTPS
或者不用京东云

fyi***

PI的上级DNS服务器IP为何？
为何Subnat mask为192？

have***

fyi2000 发表于 2020-1-31 18:03
PI的上级DNS服务器IP为何？
为何Subnat mask为192？

PI的上级DNS国内默认为114.114.114.114，国外就不说了

subnat mask为192？嫌253个IP太多，乱
用192，IP数少了又满足需求，好管理

have***

童养媳 发表于 2020-1-31 17:33
楼主试下用 Wireshark 对DNS解析抓包，看看是谁先返回的第一个 DNS
倾向于京东云在路由器抢答DNS包，目前 ...

非抢答，就是劫持，wifi设备的DNS域名请求，PI压根就没收到……

如果是抢答，那我把京东的DNS设置为黑洞IP不就行了，可当设置为黑洞IP时，你往哪个DNS服务器(如114.114.114.114)发DNS请求都收不到应答，详见我在6楼的测试

我现在已经把京东云当作纯CDN设备了，等等看积分和第三方固件了

fyi***

haven200 发表于 2020-1-31 18:56
PI的上级DNS国内默认为114.114.114.114，国外就不说了

subnat mask为192？嫌253个IP太多，乱

应该是128才对！建议重新测试

have***

fyi2000 发表于 2020-1-31 19:06
应该是128才对！建议重新测试

就是192，相当于192.168.100.65/26，地址范围是 65~127
128是192.168.100.0/25,地址范围是 0~127

fyi***

haven200 发表于 2020-1-31 19:14
就是192，相当于192.168.100.65/26，地址范围是 65~127
128是192.168.100.0/25,地址范围是 0~127

192=0xC0=11000000
地址范围是0-111111=0x3F=63

不信的话，你把PC连无线，再ping 192.168.100.100

have***

fyi2000 发表于 2020-1-31 19:23
192=0xC0=11000000
地址范围是0-111111=0x3F=63

64  =0100 0000
192=1100 0000
所以我的IP地址范围为
0100 0000 ~~ 0111 1111
127=0111 1111
所以64～127网段的掩码是192
在此网段内64是保留地址，127是广播地址，所以实际可以使用的IP范围为65~126

没人规定网段一定要从0开始！！！！