45

国内腾讯云上部署的 AdGuardHome,接收到来自德国某研究机构的 DNS 探测

 2 years ago
source link: https://www.v2ex.com/t/794324
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

V2EX  ›  DNS

国内腾讯云上部署的 AdGuardHome,接收到来自德国某研究机构的 DNS 探测

  301 · 19 小时 22 分钟前 · 2464 次点击

来自 IP 131.159.24.242 ,应该没有恶意,查看日志时发现的,之前经常清日志,没发现,至少从 7.10 开始,每隔 6 个小时请求 test.com 的 A 记录,大概是扫全网的 53,443,853,784 端口找到的

尝试直接访问 IP 的 80 端口,http://131.159.24.242 ,发现居然有说明,好像还挺有意思的

23 条回复    2021-08-08 16:43:49 +08:00

yanzhiling2001

yanzhiling2001   19 小时 13 分钟前

自己部署的 adguardhome,怎么只能自己用。放公网上一堆人扫,挺烦的。

放在自己家的 itx 主机上吧,那些屏蔽规则又又添加不了。

垃圾移动。

learningman

learningman   19 小时 12 分钟前

DoQ 收到过,同 AdGuard

learningman

learningman   19 小时 11 分钟前

@yanzhiling2001 #1 whitelist 里加上自己家的 IP Range,或者加密 DNS 放非标端口

leiakun

leiakun   18 小时 26 分钟前 via iPhone

最新的测试版 v0.107.0-b.7 已经可以在访问设置-允许的客户端,通过添加客户端 ID 来设置白名单,只允许指定的客户端 ID 请求 dns,其余请求全部丢弃。再也不会出现莫名其妙的 IP 扫描了。

wtks1

wtks1   18 小时 23 分钟前 via Android

在家部署和在服务器上部署还是有差别的,之前就发现很多网站从服务器上解析到的地址,从家里访问是比较慢的,在家部署的请求 dns 才能获取到最合适的线路

ik

ik   18 小时 23 分钟前 via iPhone

⚠️ 奇怪,国内云服务部署 dns,没收到警告?

301

301   18 小时 12 分钟前 via Android

@ik 避开 53 端口,只用 DoT 和 DoH,这样就差不多了
@wtks1 我设的上游是香港的阿里 dns,开 ecs,国内国外都很友好
@leiakun @sky96111 👍 等正式 release 啦

06_taro

06_taro   15 小时 59 分钟前

想要 doh/dot 限制只能自用的话,可以 tls 中开启 client certificate authentication,然后客户端部分没有你的私钥时 tls 阶段就被断开了

Mitt

Mitt   15 小时 50 分钟前

@06_taro #9 主要是客户端支持双向认证的不多把,比如路由器,那不就自己也用不了

Mitt

Mitt   15 小时 49 分钟前

@06_taro #9 而且 AdGuard 我也没看到有双向认证的设置

Mitt

Mitt   15 小时 45 分钟前

主要是国内私建 DNS 好像是不合法的,所以 UDP53 会被网安扫查举报给腾讯云,我就被举报了,所以建议关掉 TCP/UDP 端口,DoT/DoH 建议不要用默认端口避免也被扫查,否则被屏蔽端口或者封机器就得不偿失了

06_taro

06_taro   15 小时 32 分钟前

@Mitt 客户端不直接支持的话,前面放一个支持的来拆 tls,或者直接代理 https 都行,Apache Nginx HAProxy 都是支持的,路由器上放开销也不大,主机更没有影响。麻烦的是如果你要用手机直接用之类的。

Mitt

Mitt   15 小时 28 分钟前

@06_taro #13 我觉得最麻烦的是既然都要前置一个 DNS 来拆 DNS,那为啥不直接在局域网内就搭建一个 adguard home,有点多此一举了

davidyin

davidyin   13 小时 43 分钟前 via Android

看这个 adguardHome 这个 Home 就是让安在家里的。放在外面不合适。

webmasterisadog

webmasterisadog   10 小时 43 分钟前

备案了吗?网警怎么没请你喝茶?

301

301   8 小时 52 分钟前 via Android

@06_taro 主要是给手机用,双向认证的话应该很麻烦,目前准备前置 HAProxy 限制一下 SNI 了
@Mitt 是的,53 和 443 端口都没开,DoT 一直用默认端口,目前没啥问题

gitopen

gitopen   7 小时 7 分钟前

AdguardHome 。。。 为什么叫 Home 。。。就是在家里用。。。手动🐶

301

301   5 小时 51 分钟前 via Android

@davidyin @gitopen 如果是让在家里用,为啥 AGH 还要支持 DoT DoH DoQ 服务呢🐶

leiakun

leiakun   5 小时 21 分钟前 via iPhone

@301 国外没有禁止私设 dns,他们可以在家自己建一个 dns 服务自己用也能对外提供服务。想怎么玩都行。

Lantian

Lantian   2 小时 2 分钟前

不止国外有扫描,,,我还收到不少国内的 DNS 探针。
有的还带域名。请求的是 DoT 通道 twitter 域名的 A 和 AAAA 解析

Cipool

Cipool   46 分钟前 via Android

@Lantian 这种怎么感觉是在搜索国内无污染 doh 服务器

gitopen

gitopen   31 分钟前

@leiakun 就是这个意思。。。我在家里搞了一台服务器,上面跑着各种服务,其中就包括 AGH,把路由器的 DNS 设置为服务器的局域网 ip,这样,家里所有设备就可以 DNS filter 了。。。只在 home 范围里使用。。

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK