search

AlexZhuo / luci-app-shadowsocksR

OpenWrt/LEDE LuCI for Shadowsocks-libev
181 stars 90 forks source link

关于抗DNS污染的一些坏消息 #28

Open daiaji opened 7 years ago

daiaji commented 7 years ago 
dig pixiv.net @8.8.8.8 +tcp
;; communications error to 8.8.8.8#53: connection reset

tcp请求会connection reset 但是非标准端口请求DNS OK没被污染!

dig google.com @208.67.222.123 -p 443
; <<>> DiG 9.10.3-P4-Debian <<>> google.com @208.67.222.123 -p 443
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41119
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;google.com.            IN  A

;; ANSWER SECTION:
google.com.     291 IN  A   216.58.200.46

;; Query time: 226 msec
;; SERVER: 208.67.222.123#443(208.67.222.123)
;; WHEN: Mon Oct 23 18:44:37 CST 2017
;; MSG SIZE  rcvd: 55

性能捉急和用隧道差不多了 而且有时候会断 推荐还是用ss隧道解析 再不济ss隧道还有加密和混淆 比较稳定 v2ex dns在我这用不了 还有就是luci-app-shadowsocksR内置的pdnsd规则应该是没用了…… 因为现在chinadns不是用的丢弃假IP 而是用的白名单(4000行 解析到的IP如果在表里就转国内 貌似大墙升级了 随机生成投毒的假IP 据说有几千个之多…… 总之建议还是加入chinadns的支持吧

假如说是转tcp请求所以才用pdnsd就很没必要 因为tcp还慢点 而且直接tcp请求会connection reset 非要转tcp的话DNS-Forwarder也成

我打算自己改改luci-app-shadowsocksR 加个选项

tacuar commented 7 years ago

具体的方案可以说说吗?

S.SR本身好像是黑名单模式, 那要如何再加入白名单模式混合一起用啊

daiaji commented 7 years ago

@tacuar 用非大陆IP模式(gfwlist那张表已经不少网站都不匹配了 而且更新慢) 你可以全局用隧道转发dns(这样的好处就是你的DNS查询也不被ISP所知 混淆过的dns查询当然比普通的dns加密稳定 这是常识吧?udp不行还可以转发成tcp ssr原生支持 总重要的是非明文!至少不会被DNS污染) 也可以用chinadns ssr不清楚 不过默认全局代理就是-u 有转发udp流量吧

AlexZhuo commented 7 years ago

现在换成了dnsforwarder,还是用TCP协议请求,去掉了ssr-tunnel的支持。主要原因是很多ssr服务器不开udp端口。 dnsforwarder默认开启内存缓存,比pdnsd的缓存好用,可以缓解udp比tcp效率低的问题 更新GFWList请到dnsforwarder的luci去更新,换了更新源,频率提升 dnsforwarder的编译地址:https://github.com/AlexZhuo/openwrt-dnsforwarder

daiaji commented 7 years ago

@AlexZhuo 能回来真是太好了 udp作DNS请求效率上比TCP高这点可以从kcp项目得知 但是udp不可靠 就是udp包发送出去之后不管是丢包了还是劫持了 发送端都不会知道 tcp多少会确认一下(所以会延迟一点,但是这种确认在部署于主干网 能流量分类 篡改包的gfw面前没什么卵用,结果你看到了 下次应该tcp也可以返回错误的ip了 想要不被修改流量内容 只能加密 但是加密DNS……SS据说都被流量识别了 DNS加密还能活?一些案例已经证明了我的猜测 哪怕是加密DNS也会被GFW识别并干扰 稳妥起见还是为了效率尽可能的DNS走加密后的UDP 迫不得已才用加密的TCP 我看了一下BlockIP 嗯…… 从很早之前DNS污染就不止这点了 chinadns已经是用的白名单了 推荐还是用chinadns做解析 有需要就把udp转tcp(chinadns就是不支持TCP 没法子 然后就是共用一份GFWList和china-banned 现在chinadns和SSR各用一份china-banned 就很不爽了 最后就是能加入hosts里的ip不代理的功能吗? GFWList老实说很不好使 不少IP都不能覆盖了 有些能直连的网站速度也不理想 还不如国内IP白名单省事

编译了新的luci-app-shadowsocksR之后我感觉蛋疼极了…… 一个是ssr-tunnel没了虽然我只是想让luci替我开个ssr-tunnel端口 我自己去chinadns…… 第二个是如果要用额外的白名单就得设置dnsforwarder为DNSmasq的上游DNS 我根本不用GFWlist的而且我的服务器是有开udp的 这么说来dnsforwarder…… 第三个 由于追加了dnsforwarder而要额外的加上DNSmasq-full 即使是去掉ipv6的包 固件编译出来也有5.4M…… 上次编译还是4.5M 第四个就是抗DNS污染的实现 纯用dnsforwarder或者pdnsd来实现chinadns 效率都不可能有chinadns高 因为chinadns发起dns查询的时候是向所有上游dns并发查询 dnsforwarder和pdnsd只能轮询 除非用C重写一个程序 否则效率不可能比chinadns 高 更别说导入4000多行中国IP之后了(当然现在没有做

果然是我还是去改改 openwrt-ssr 凑活用?