CNAME的查询问题

[lshilshi]

> domain1 
服务器:  public1.114dns.com
Address:  114.114.114.114

*** 没有 domain1 可以使用的 canonical name (CNAME)记录
> domain2
服务器:  public1.114dns.com
Address:  114.114.114.114

*** public1.114dns.com 找不到 domain2: Server failed

以上，说明了哪些情况？ domain2被ip block？ domain1呢？

我用的1.1.1.1/8.8.8.8都不返回cname的相关信息（已经用set q=cname） 114dns倒是可以返回cname的信息，但是试了几个域名，都说查不到记录 和你wiki中sni的那篇文章中的cname查询情况相差太大了！

[SeaHOH]

Ping 无污染解析到的 IP，如没有回应则属于 IP 封锁。

• 使用 CNAME（如果有）作为 SNI

请仔细阅读，没有 CNAME 记录即无法使用此方法.

[lshilshi]

Ping 无污染解析到的 IP，如没有回应则属于 IP 封锁。

• 使用 CNAME（如果有）作为 SNI

请仔细阅读，没有 CNAME 记录即无法使用此方法.

谢谢解答！ 不过以上两种情况下如何解决？在gotox下？

现在是gotox默认ActionFilter下日常 因为始终获取不到可用的GAE IP 所以ip封锁情况下，也没法用GAE了 只能又开vpn或v2ray来翻

所以想学习下ActionFilter的自定义 你的注释写的很详细，但是不实践就是不明白……

[SeaHOH]

虽然无法用 CNAME，但是可以尝试不发送，或发送相关主机名、随机 SNI 名称等，只要服务器接受就行，否则无法通过伪造 SNI 来直连。如果你对直连有偏好的话，可以试试 https://github.com/Macronut/TCPioneer ，好像和代理没有太多冲突。

至于 IP 封锁，这个只能是使用代理了，设置自动规则使用其它代理就行。

所以想学习下ActionFilter的自定义 你的注释写的很详细，但是不实践就是不明白……

有一些默认规则，可以照着写。如果实在是不明白，你说几个典型的需求和实例，然后给你写一遍，估计就能明白些了。

[lshilshi]

有一些默认规则，可以照着写。如果实在是不明白，你说几个典型的需求和实例，然后给你写一遍，估计就能明白些了。

其实需求最大的是，定期检索书签，看哪些失效或只是网址更新的时候有需求 很多时候200/404等等错误的时候 其实在同一代理模式的情况下，手动点击访问正常/或多刷新几次后正常 或者在更换代理模式后，也可以访问 所以想尽可能找个对个人来说干预少的代理访问模式（同时尽可能直连，以保证访问速度和中间人攻击等可能）

不知道你那边直接访问https://qiando.today 是否正常，如果需要调整，先以这个来个实例？ 我这边如果设置gotox的dns为system第一，访问不了 设为DOH第一，才能访问，但是速度很慢（用ssr等直接翻墙访问速度还是可以的），而且也偶尔会连不上

[SeaHOH]

签到的域名已经挂了，不可能访问到，代理也不可能。

直连访问大部分海外站点时，速度是没法保证的；而大部分代理也不使用中间人方式，安全问题都是其它原因导致的。如果你比较在意这些，直接使用 SSR 等代理可能更合适，另外可配合上面提到的 TCPioneer，部分速度还可以的站点可用它直连。

[lshilshi]

签到的域名已经挂了，不可能访问到，代理也不可能。

直连访问大部分海外站点时，速度是没法保证的；而大部分代理也不使用中间人方式，安全问题都是其它原因导致的。如果你比较在意这些，直接使用 SSR 等代理可能更合适，另外可配合上面提到的 TCPioneer，部分速度还可以的站点可用它直连。

实际还是可以访问的，doh模式，要多刷几次，看运气？ 不过速度真心不行

刚刚又连了下，这次速度可以，神奇

19:21:06 I L4:61701->104.18.44.149 "FWD CONNECT qiandao.today:443 HTTP/1.1" - -

[wz7465]

域名确实挂了，能连上估计本地的dns缓存没刷新

[lshilshi]

有一些默认规则，可以照着写。如果实在是不明白，你说几个典型的需求和实例，然后给你写一遍，估计就能明白些了。

就这两个网站试试 https://www.apkmirror.com/developers/ https://apkpure.com/app 然后指引过程中最好详细一点说明 为什么选择伪造SNI直连/或只能FWD/或需要走GAE/…… 当前网站返回信息，判断是DNS污染 那么假使是ipblock，又会是啥返回信息……如此等等

抱歉，要求好像有些多。 但没办法，虽然不是计算机相关行业，但也爱折腾，不过这个的actionfilter我始终没搞明白

[wz7465]

config文件中iplist 建 cloudflare_ip = 104.28.61.81|104.28.15.97 ActionFilter中伪造证书里建 .apkmirror.com = same@.cloudflare.com apkpure.com = same@.cloudflare.com 70-代理直连里建 .apkmirror.com = cloudflare_ip apkpure.com = cloudflare_ip

[wz7465]

配置实际不可用，没注意跳转到gae了

[lshilshi]

配置实际不可用，没注意跳转到gae了

那你上面列的有用没？ 或者兄弟帮忙教教课？

[wz7465]

基本思路是这样，但上面两个域名目前sni方法无解，没cname，改通用证书域名欺骗认证后连接被拒绝 教程看大海兄的官方，纽约时报就是范例，不过该网站还有很多子域名，sni欺骗无法全部解决

[SeaHOH]

其实首先该测试的就是不发送 SNI

.apkmirror.com = @none

然后，就这么伪造 SNI 直连成功。

至于 apkpure.com ，我测试是直接就能访问的，如果你没法直接访问，是因为 DNS 污染。然而即使解决污染问题也没法正常使用，似乎大陆 IP 被封，还是要用代理。

[wz7465]

@none 过不了验证啊？ 13:49:47 W 104.18.33.92 _create_ssl_connection 'www.apkmirror.com' 返回 Error([('SSL routines', 'ssl3_read_bytes', 'sslv3 alert handshake failure')])，重试 13:49:48 W 104.24.101.122 create_ssl_connection 'https://www.apkmirror.com/favicon.ico' 失败：Error([('SSL routines', 'ssl3_read_bytes', 'sslv3 alert handshake failure')]) 13:49:48 W L4:1739-> do_DIRECT "GET https://www.apkmirror.com/favicon.ico" 失败，返回 404

[SeaHOH]

@none 过不了验证啊？

不要使用自定 IP。

[wz7465]

我试试

[wz7465]

确实可以，直接用ipv6地址了

[SeaHOH]

虽然使用 cloudflare 的网站有很多，但是他们使用的具体产品规格是不同的，不要固定使用一个办法来尝试伪造 SNI，最好按 wiki 上我列出的顺序尝试。

[SeaHOH]

谷歌情况类似，但除 GHS 外都是自家产品，所以大部分可以直接使用所谓的域前置。而 cloudflare 是 CDN 服务商，需要更加安全的设置来保护用户的网站，所以除免费服务外基本不可能使用错误的 SNI 来访问。

[lshilshi]

至于 apkpure.com ，我测试是直接就能访问的，如果你没法直接访问，是因为 DNS 污染。然而即使解决污染问题也没法正常使用，似乎大陆 IP 被封，还是要用代理。

我设置的是DNS优先就是 DOH/REMOTE/SYETEM的啊 ，不应该被污染的吧

[SeaHOH]

你也没讲到底是什么状况，直接访问是 404，你看看是不是。

[lshilshi]

直接访问就是404…… 加不加www，都会404跳到https://apkpure.com/

14:21:43 T 162.159.36.1 dns_over_https 已缓存：9/1024，耗时：1334 毫秒，www.apkp
ure.com = ['104.20.82.194', '104.20.83.194']
14:21:43 I L4:57170->104.20.83.194 "FWD CONNECT www.apkpure.com:443 HTTP/1.1" -
-
14:22:00 T [picker gae] 0 测试连接（超时：3000 ms）172.217.168.212，1014 ms
14:22:09 T [picker gws] 0 测试连接（超时：1000 ms）172.217.31.247，140 ms
14:22:18 D L4:57106->192.0.77.32 转发终止："s0.wp.com"

没看到其它log

改成http协议，跳回https，仍然404

14:25:24 D L4:57170->104.20.83.194 转发终止："www.apkpure.com"

[wz7465]

有一个问题，当priority = overhttps时 访问https://www.apkmirror.com/developers/得到正常解析IP 104.19.136.58 当priority = remote （remote 设定为127.0.0.1）没能得到正确IP 重启gotox几次都得到不同的ip 173.252.102.16 67.228.74.123 208.101.60.87 我查了一下都是美国的ip 我本地的dns 127.0.0.1是确保无污染的，nslookup能得到正确解析，似乎priority = remote没有正确工作

[wz7465]

客户端3.5.6

[SeaHOH]

直接访问就是404……

对，大家都是 404，这个只能代理。不要把 https 改成 http。 一般能返回数字代码（不使用 GotoX 的情况下），就说明已经与服务器连接上了，其它错误才是没有连接上。

我本地的dns 127.0.0.1是确保无污染的，nslookup能得到正确解析，似乎priority = remote没有正确工作

因为有 DoH，内置 DNS remote 解析只是简单处理了一下，不一定能保证无污染，除非 server 指定的地址在内网，不然一般放在最后。

[wz7465]

server指定的127.0.0.1 是在内网，而且只保留了priority = remote

[SeaHOH]

除开内网 server 还有没有其它 IP？

只保留了priority = remote

这个设置也只是优先 remote，没有解析到 IP（比如响应时间超过 2 秒）会继续尝试 system、overhttps。你的系统内是否有设置其它 DNS？

[wz7465]

我理解了，priority = remote并不意味禁用system，由于我网卡是默认配置，优先响应了，我把网卡的dns也设定为127.0.0.1 问题解决

[lshilshi]

至于 apkpure.com ，我测试是直接就能访问的，如果你没法直接访问，是因为 DNS 污染。然而即使解决污染问题也没法正常使用，似乎大陆 IP 被封，还是要用代理。

哦，楼主是肉身在国外是吧，我看你说直连，我说我直连咋404呢 像这样需要代理的，就会自动转GAE是吧 如果有可用GAE IP九儿可以访问，如果像我这样始终筛选不到可用IP的，GAE代理就废了吧？

[SeaHOH]

直接访问就是404……

对，大家都是 404，这个只能代理。不要把 https 改成 http。 一般能返回数字代码（不使用 GotoX 的情况下），就说明已经与服务器连接上了，其它错误才是没有连接上。

404 是网站服务器返回的，这也是能访问。。。

如果像我这样始终筛选不到可用IP的，GAE代理就废了吧？

GAE 明年也会被废，可调用或者直接使用其它代理。