国内腾讯云上部署的 AdGuardHome，接收到来自德国某研究机构的 DNS 探测 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

DNS 参考资料

› List of DNS Record Types

› dig 使用说明

› djbdns

› DNS Parameters

› dnslib for Python

这是一个创建于 1186 天前的主题，其中的信息可能已经有所发展或是发生改变。

来自 IP 131.159.24.242 ，应该没有恶意，查看日志时发现的，之前经常清日志，没发现，至少从 7.10 开始，每隔 6 个小时请求 test.com 的 A 记录，大概是扫全网的 53，443，853，784 端口找到的尝试直接访问 IP 的 80 端口，http://131.159.24.242 ，发现居然有说明，好像还挺有意思的

26 条回复 • 2021-08-12 18:59:25 +08:00

1

40EaE5uJO3Xt1VVa

2021-08-07 22:02:22 +08:00

自己部署的 adguardhome，怎么只能自己用。放公网上一堆人扫，挺烦的。

放在自己家的 itx 主机上吧，那些屏蔽规则又又添加不了。

垃圾移动。

2

learningman

2021-08-07 22:02:44 +08:00

DoQ 收到过，同 AdGuard

3

learningman

2021-08-07 22:03:34 +08:00

@yanzhiling2001 #1 whitelist 里加上自己家的 IP Range，或者加密 DNS 放非标端口

4

sky96111

2021-08-07 22:16:00 +08:00

https://github.com/AdguardTeam/AdGuardHome/issues/2799

5

leiakun

2021-08-07 22:49:18 +08:00 via iPhone

最新的测试版 v0.107.0-b.7 已经可以在访问设置-允许的客户端，通过添加客户端 ID 来设置白名单，只允许指定的客户端 ID 请求 dns，其余请求全部丢弃。再也不会出现莫名其妙的 IP 扫描了。

6

wtks1

2021-08-07 22:52:02 +08:00 via Android

在家部署和在服务器上部署还是有差别的，之前就发现很多网站从服务器上解析到的地址，从家里访问是比较慢的，在家部署的请求 dns 才能获取到最合适的线路

7

ik

2021-08-07 22:52:04 +08:00 via iPhone

⚠️ 奇怪，国内云服务部署 dns，没收到警告？

8

301

OP

2021-08-07 23:03:00 +08:00 via Android

@ik 避开 53 端口，只用 DoT 和 DoH，这样就差不多了
@wtks1 我设的上游是香港的阿里 dns，开 ecs，国内国外都很友好
@leiakun @sky96111 👍 等正式 release 啦

9

06_taro

2021-08-08 01:16:11 +08:00

想要 doh/dot 限制只能自用的话，可以 tls 中开启 client certificate authentication，然后客户端部分没有你的私钥时 tls 阶段就被断开了

10

Mitt

2021-08-08 01:24:49 +08:00

@06_taro #9 主要是客户端支持双向认证的不多把，比如路由器，那不就自己也用不了

11

Mitt

2021-08-08 01:25:35 +08:00

@06_taro #9 而且 AdGuard 我也没看到有双向认证的设置

12

Mitt

2021-08-08 01:30:14 +08:00

主要是国内私建 DNS 好像是不合法的，所以 UDP53 会被网安扫查举报给腾讯云，我就被举报了，所以建议关掉 TCP/UDP 端口，DoT/DoH 建议不要用默认端口避免也被扫查，否则被屏蔽端口或者封机器就得不偿失了

13

06_taro

2021-08-08 01:43:24 +08:00

@Mitt 客户端不直接支持的话，前面放一个支持的来拆 tls，或者直接代理 https 都行，Apache Nginx HAProxy 都是支持的，路由器上放开销也不大，主机更没有影响。麻烦的是如果你要用手机直接用之类的。

14

Mitt

2021-08-08 01:46:34 +08:00

@06_taro #13 我觉得最麻烦的是既然都要前置一个 DNS 来拆 DNS，那为啥不直接在局域网内就搭建一个 adguard home，有点多此一举了

15

davidyin

2021-08-08 03:32:07 +08:00 via Android

看这个 adguardHome 这个 Home 就是让安在家里的。放在外面不合适。

16

301

OP

2021-08-08 08:23:18 +08:00 via Android

@06_taro 主要是给手机用，双向认证的话应该很麻烦，目前准备前置 HAProxy 限制一下 SNI 了
@Mitt 是的，53 和 443 端口都没开，DoT 一直用默认端口，目前没啥问题

17

gitopen

2021-08-08 10:07:57 +08:00

AdguardHome 。。。为什么叫 Home 。。。就是在家里用。。。手动🐶

18

301

OP

2021-08-08 11:23:39 +08:00 via Android

@davidyin @gitopen 如果是让在家里用，为啥 AGH 还要支持 DoT DoH DoQ 服务呢🐶

19

leiakun

2021-08-08 11:53:46 +08:00 via iPhone

@301 国外没有禁止私设 dns，他们可以在家自己建一个 dns 服务自己用也能对外提供服务。想怎么玩都行。

20

Lantian

2021-08-08 15:12:58 +08:00

2

不止国外有扫描，，，我还收到不少国内的 DNS 探针。
有的还带域名。请求的是 DoT 通道 twitter 域名的 A 和 AAAA 解析

21

Cipool

2021-08-08 16:29:26 +08:00 via Android

@Lantian 这种怎么感觉是在搜索国内无污染 doh 服务器

22

gitopen

2021-08-08 16:43:49 +08:00

@leiakun 就是这个意思。。。我在家里搞了一台服务器，上面跑着各种服务，其中就包括 AGH，把路由器的 DNS 设置为服务器的局域网 ip，这样，家里所有设备就可以 DNS filter 了。。。只在 home 范围里使用。。

23

Lantian

2021-08-08 17:54:23 +08:00

@Cipool 我也怀疑。。。。。

24

davidyin

2021-08-08 19:35:15 +08:00 via Android

@301 https://images.g2soft.net/image/bn3U
图片不显示的话，可以看看官方介绍 https://kb.adguard.com/en/home/overview
本来就是这么设计，当然一定放在公网是你自己的选择，也可以。

25

Sekai

2021-08-10 00:26:06 +08:00

AGH 要放到国外，不要用任何国内厂商的 dns，这样才干净吧

26

guanzhangzhang

2021-08-12 18:59:25 +08:00

软路由 openwrt 上运行一个，局域网有条件的话 docker 起个 ad

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 1002 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 26ms · UTC 21:09 · PVG 05:09 · LAX 13:09 · JFK 16:09
Developed with CodeLauncher
♥ Do have faith in what you're doing.