V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
kkk123
V2EX  ›  DNS

223.5.5.5 dns dotnet.microsoft.com 网站返回证书是 djfidicjmwos.com

  •  
  •   kkk123 · 2023-12-15 12:03:10 +08:00 · 4052 次点击
    这是一个创建于 377 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://imgur.com/HoLxXkH

    https://imgur.com/AGZoYb0

    在腾讯云的机器查询也是返回也是同 C 段的 IP

    ~$ nslookup dotnet.microsoft.com 223.5.5.5
    Server:		223.5.5.5
    Address:	223.5.5.5#53
    
    Non-authoritative answer:
    dotnet.microsoft.com	canonical name = dotnetwebsite.azurefd.net.
    Name:	dotnetwebsite.azurefd.net
    Address: 156.251.239.114
    dotnetwebsite.azurefd.net	canonical name = firstparty-azurefd-prod.trafficmanager.net.
    firstparty-azurefd-prod.trafficmanager.net	canonical name = shed.dual-low.part-0045.t-0009.t-msedge.net.
    shed.dual-low.part-0045.t-0009.t-msedge.net	canonical name = part-0045.t-0009.t-msedge.net.
    Name:	part-0045.t-0009.t-msedge.net
    Address: 2620:1ec:bdf::73
    Name:	part-0045.t-0009.t-msedge.net
    Address: 2620:1ec:46::73
    
    18 条回复    2024-01-05 09:39:27 +08:00
    lovelylain
        2
    lovelylain  
       2023-12-15 12:40:53 +08:00 via Android
    @LoliconInside 以为正经反馈问题的 issue 里面网址会很正经的我在公司打开了里面的一个网址,并没有看到 hijacking ,而是赶紧关闭了这个网页
    BaffinLee
        3
    BaffinLee  
       2023-12-15 12:42:37 +08:00
    看看是不是污染了 https://dns.must.cool/?domain=dotnet.microsoft.com
    vmebeh
        4
    vmebeh  
       2023-12-15 12:43:31 +08:00 via iPhone
    经常在被劫持的网页证书上看到这个域名
    有时换掉运营商的 dns 即可解决
    gentrydeng
        5
    gentrydeng  
       2023-12-15 12:47:36 +08:00 via Android
    这是之前就出现过的中间人攻击:/t/656367
    faceair
        6
    faceair  
       2023-12-15 12:47:59 +08:00
    可能是 udp 劫持,试试 dig dotnet.microsoft.com @223.5.5.5 +tcp
    gentrydeng
        7
    gentrydeng  
       2023-12-15 12:48:34 +08:00 via Android
    0o0O0o0O0o
        8
    0o0O0o0O0o  
       2023-12-15 12:57:02 +08:00
    kdig +tls AAAA dotnet.microsoft.com @223.5.5.5
    kkk123
        9
    kkk123  
    OP
       2023-12-15 12:59:47 +08:00
    @faceair 截图是本地的 adguardhome, 上游是 tls://223.5.5.5:853 . 把阿里的 DNS 去掉清缓存就正常了
    faceair
        10
    faceair  
       2023-12-15 13:06:20 +08:00
    @kkk123 那确实像是阿里云的 DNS 结果被污染了一会儿
    wdlth
        11
    wdlth  
       2023-12-15 13:11:11 +08:00
    用阿里 DNS 的 DOH 测试了,有时会返回 156.251 开头的 IP ,应该是阿里 DNS 某台出口的查询被劫持了。
    LoliconInside
        12
    LoliconInside  
       2023-12-15 13:30:17 +08:00
    @lovelylain hhhhhh 我也没仔细看,刚发现
    wdlth
        13
    wdlth  
       2023-12-15 13:32:17 +08:00
    发现 114DNS 也有这种情况
    kkk123
        14
    kkk123  
    OP
       2023-12-15 13:34:27 +08:00
    @wdlth 刚还去看 114 有没有 tls doh 之类呢 😃 看样子 114 是准备老本吃到死了
    gentrydeng
        15
    gentrydeng  
       2023-12-15 13:42:33 +08:00
    #5 #7 搞错了,不是同一个问题。

    应该是阿里 DNS 某个出口被劫持了,而且只有 IPv4 DNS 有问题,通过 IPv6 DNS ( 2400:3200::1 )查询是没有问题的。

    # dig @2400:3200::1 +noall +answer dotnet.microsoft.com
    dotnet.microsoft.com. 1 IN CNAME dotnetwebsite.azurefd.net.
    dotnetwebsite.azurefd.net. 1 IN CNAME firstparty-azurefd-prod.trafficmanager.net.
    firstparty-azurefd-prod.trafficmanager.net. 1 IN CNAME shed.dual-low.part-0022.t-0009.t-msedge.net.
    shed.dual-low.part-0022.t-0009.t-msedge.net. 1 IN CNAME part-0022.t-0009.t-msedge.net.
    part-0022.t-0009.t-msedge.net. 1 IN A 13.107.213.50
    part-0022.t-0009.t-msedge.net. 1 IN A 13.107.246.50
    cubecube
        16
    cubecube  
       2023-12-15 16:54:56 +08:00
    所以,谁劫持的!
    miaomiao888
        17
    miaomiao888  
       2023-12-18 09:13:26 +08:00
    之前某数字浏览器就默认启用了跳过证书错误,搭配这个食用的话是不是效果最佳呀。
    shuax
        18
    shuax  
       357 天前
    遇到同样问题了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5797 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 02:30 · PVG 10:30 · LAX 18:30 · JFK 21:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.