恩山无线论坛

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 3610|回复: 23

京东云路由器是否做了内网DNS劫持?

[复制链接]
发表于 2020-1-30 10:40 | 显示全部楼层 |阅读模式
本帖最后由 haven200 于 2020-2-4 15:23 编辑

先上家里的一个简易布线图

布线图

布线图

设置:
1. 局域网由PI提供DHCP服务并将DNS指向自己做AD过滤
2. 路由器关DHCP,开无线
3. 路由器PPoE上网,DNS为自动获取,这里为电信的222.222.222.222


问题:发现手机不能访问NAS(自定域名nas.net),经测试有线设备获取到的 nas.net 地址与无线设备获取到的 nas.net 地址不同。

1.  PC 有线上网,关WIFI,此时获取nas.net的IP为192.168.100.101,正确,见下图

有线上网

有线上网


2. PC无线上网,断有线,此时获取nas.net的IP为216.145.110.98,错误,见下图
虽然PC的DNS依旧为PI,但此时无线设备所请求的域名不是从PI返回的,导致内网的AD过滤也失效了。

无线上网

无线上网


3.  拿了个TP的路由器,直接插京东路由上,TP路由器 动态获取IP 并开了 WIFI。
PC 无线连 TP路由器 上。此时 PING 域名nas.net,返回地址为192.168.100.101,正确。
已确定这是京东路由器LAN口的交换芯直接将DNS请求转发至内网DNS的原因,所以才没被劫持,详见6楼的测试。


4. 将路由器的PPoE拨号所获取的DNS手动改为192.168.100.100,所有无线设备全部不能上网,但有线设备不受影响。
有线不受影响,是因为内网的DNS服务器有域名缓存的原因,而未被缓存的域名同样无法访问。

5. 闲着无事,重新做了下6楼的测试, 发在了 19楼,这回直接抓包了

个人总结:
加上6楼 19楼 的测试,已确定京东云路由器做了DNS劫持假冒原 DNS 服务器返回查询结果。
即使你在客户端设置成其它的 DNS,所请求的域名也是由京东云返回的。
至于它做劫持是主动还是无意,反正官方肯定说是无意的,至于你信不信反正我信了
这玩意现在主业是 CDN,副业才是路由器。


我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-1-30 14:06 | 显示全部楼层
就不干净,强制不让当用无线ap用

点评

无线AP功能,不是说已经在开发中了么,年前没做出来,所以跑年后了。  详情 回复 发表于 2020-1-30 15:08
来自安卓客户端来自安卓客户端
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2020-1-30 15:08 | 显示全部楼层
书桩 发表于 2020-1-30 14:06
就不干净,强制不让当用无线ap用

无线AP功能,不是说已经在开发中了么,年前没做出来,所以跑年后了。
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-1-30 20:50 | 显示全部楼层
haven200 发表于 2020-1-30 15:08
无线AP功能,不是说已经在开发中了么,年前没做出来,所以跑年后了。

多少年前的老tp路由器,关闭DHCP,网线插lan口,都可以当无线AP用,京东这就是故意的!不要脸!

点评

其实京东路由器也可以做无线AP,按你说的TP方式就可以。但这样做的结果是无法上传数据不能得积分了。 而现在京东在做的无线AP功能是解决路由器做无线AP时不能得积分的问题,和你说的无线AP不是一码事。  详情 回复 发表于 2020-1-31 13:27
来自安卓客户端来自安卓客户端
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-1-31 00:26 | 显示全部楼层
这么不干净
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2020-1-31 10:01 | 显示全部楼层
本帖最后由 haven200 于 2020-1-31 10:13 编辑

我去,每编辑一次帖子都要做一次审核……
昨晚家人都睡觉后,进行了有线网络测试
先说结果确定京东云路由器做了内网DNS劫持,即所有发往外网的DNS请求都由它返回,即使你的客户端设置了不同的DNS

测试时的设置:原布局不变(同主贴),将京东路由器的外网DNS改为任意一个IP(非DNS服务器)
然后PC有线上网,用 nslookup 进行了测试
JDC_lan_pi.png
结果不用说了,无法返回正确的IP地址。

主贴的测试3,能返回正确地址,应该是京东云的交换芯片直接将DNS请求给转发走了,所以京东云路由器没有拦截成功。

PS:我知道 ddwrt 固件有个选项” DNS 重定向“,是用 iptables 将所有内网的 dns请求 跳转至路由器本身,效果和京东云现在一样,但 ddwrt 可以自主选择使用与否。
至于京东云路由器是否是主动劫持内网 DNS 就不得而知了。


以下为这么长时间使用京东路由器的感受。
1. 做为路由器,BUG太多,居然连访客网络这么基本的功能都做不好。它的访客网络只是换了个网段,但访客与主网可以 PING 通,对,你没看错,双方可以通信。
2. WIFI 的稳定性还不错,以它的 WIFI 做主,在家里使用了近 3 个星期吧,从信号覆盖与信号质量来还不错。
3. 劫持内网 DNS,导致上面 2 那唯一的加分项也没了。


对了,京东云路由器的自动更新没关过,现已将京东云路由器撤为二级路由关了WIFI,还在网管交换机处做了端口隔离将它与内网隔离开了。
手机截了个图,省得有人说我在这里黑京东。
看下图,它还在做极力的上传数据,CPU利用率平均在20%左右吧。
我看京东云路由器做二级路由时从来不申请UPNP来打开端口,即使不让它做DMZ主机也不影响它上传数据。
抓过一次它的包,全是UDP协议,估计使用了"UDP打洞"的技术来穿透NAT做的P2P吧。
随它吧,现在只当它是个CDN设备,不当它是路由器了,年后看积分情况,不行就出了。


JDC

JDC
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2020-1-31 13:27 | 显示全部楼层
书桩 发表于 2020-1-30 20:50
多少年前的老tp路由器,关闭DHCP,网线插lan口,都可以当无线AP用,京东这就是故意的!不要脸!

其实京东路由器也可以做无线AP,按你说的TP方式就可以。但这样做的结果是无法上传数据不能得积分了。

而现在京东在做的无线AP功能是解决路由器做无线AP时不能得积分的问题,和你说的无线AP不是一码事。
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-1-31 17:33 | 显示全部楼层
楼主试下用 Wireshark 对DNS解析抓包,看看是谁先返回的第一个 DNS
倾向于京东云在路由器抢答DNS包,目前好的解决办法是DNS over HTTPS
或者不用京东云

点评

今儿闲着无事,对京东云进行了抓包测试。 背景: 1、京东云不做主路由器了,只做单纯的 CDN 设备 2、开启京东云的 WIFI,PC 无线连接京东云 3、私网的 IP 为京东云分配,所以 IP 变为 192.168.68.X 了 测  详情 回复 发表于 2020-2-4 15:12
非抢答,就是劫持,wifi设备的DNS域名请求,PI压根就没收到…… 如果是抢答,那我把京东的DNS设置为黑洞IP不就行了,可当设置为黑洞IP时,你往哪个DNS服务器(如114.114.114.114)发DNS请求都收不到应答,详见我在6  详情 回复 发表于 2020-1-31 19:06
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-1-31 18:03 | 显示全部楼层
本帖最后由 fyi2000 于 2020-1-31 18:32 编辑

PI的上级DNS服务器IP为何?
为何Subnat mask为192?

点评

PI的上级DNS国内默认为114.114.114.114,国外就不说了  详情 回复 发表于 2020-1-31 18:56
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2020-1-31 18:56 | 显示全部楼层
本帖最后由 haven200 于 2020-1-31 18:59 编辑
fyi2000 发表于 2020-1-31 18:03
PI的上级DNS服务器IP为何?
为何Subnat mask为192?

PI的上级DNS国内默认为114.114.114.114,国外就不说了

subnat mask为192?嫌253个IP太多,乱
用192,IP数少了又满足需求,好管理

点评

应该是128才对!建议重新测试  详情 回复 发表于 2020-1-31 19:06
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2020-1-31 19:06 | 显示全部楼层
童养媳 发表于 2020-1-31 17:33
楼主试下用 Wireshark 对DNS解析抓包,看看是谁先返回的第一个 DNS
倾向于京东云在路由器抢答DNS包,目前 ...

非抢答,就是劫持,wifi设备的DNS域名请求,PI压根就没收到……

如果是抢答,那我把京东的DNS设置为黑洞IP不就行了,可当设置为黑洞IP时,你往哪个DNS服务器(如114.114.114.114)发DNS请求都收不到应答,详见我在6楼的测试

我现在已经把京东云当作纯CDN设备了,等等看积分和第三方固件了
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-1-31 19:06 | 显示全部楼层
haven200 发表于 2020-1-31 18:56
PI的上级DNS国内默认为114.114.114.114,国外就不说了

subnat mask为192?嫌253个IP太多,乱

应该是128才对!建议重新测试

点评

就是192,相当于192.168.100.65/26,地址范围是 65~127 128是192.168.100.0/25,地址范围是 0~127  详情 回复 发表于 2020-1-31 19:14
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2020-1-31 19:14 | 显示全部楼层
fyi2000 发表于 2020-1-31 19:06
应该是128才对!建议重新测试

就是192,相当于192.168.100.65/26,地址范围是 65~127
128是192.168.100.0/25,地址范围是 0~127

点评

192=0xC0=11000000 地址范围是0-111111=0x3F=63 不信的话,你把PC连无线,再ping 192.168.100.100  详情 回复 发表于 2020-1-31 19:23
我的恩山、我的无线 The best wifi forum is right here.
发表于 2020-1-31 19:23 | 显示全部楼层
haven200 发表于 2020-1-31 19:14
就是192,相当于192.168.100.65/26,地址范围是 65~127
128是192.168.100.0/25,地址范围是 0~127

192=0xC0=11000000
地址范围是0-111111=0x3F=63

不信的话,你把PC连无线,再ping 192.168.100.100

点评

64 =0100 0000 192=1100 0000 所以我的IP地址范围为 0100 0000 ~~ 0111 1111 127=0111 1111 所以64~127网段的掩码是192 没人规定网段一定要从0开始!!!!  详情 回复 发表于 2020-2-1 12:58
我的恩山、我的无线 The best wifi forum is right here.
 楼主| 发表于 2020-2-1 12:58 | 显示全部楼层
本帖最后由 haven200 于 2020-2-1 13:08 编辑
fyi2000 发表于 2020-1-31 19:23
192=0xC0=11000000
地址范围是0-111111=0x3F=63

64  =0100 0000
192=1100 0000
所以我的IP地址范围为
0100 0000 ~~ 0111 1111
127=0111 1111
所以64~127网段的掩码是192
在此网段内64是保留地址,127是广播地址,所以实际可以使用的IP范围为65~126

没人规定网段一定要从0开始!!!!
我的恩山、我的无线 The best wifi forum is right here.
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|Archiver|恩山无线论坛(常州市恩山计算机开发有限公司版权所有) ( 苏ICP备05084872号 )|网站地图

GMT+8, 2020-10-21 13:25

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表