这是一个创建于 190 天前的主题,其中的信息可能已经有所发展或是发生改变。
网络:广东移动宽带; dns:opendns/Umbrella 的 doh ,https://146.112.41.2/dns-query
opendns 直连的延迟: https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/b56511701fdaccbb63925acb7041307179547202.png
opendns 代理的延迟: https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/9a270a8aec8e880ec683f30538bdf0fa79547202.png
dnspod 直连的延迟: https://images.weserv.nl/?url=https://article.biliimg.com/bfs/new_dyn/fdfefe325e0b43654482f6cd553105a879547202.png
为什么 opendns 直连比代理还快?最低延迟居然去到 27ms
 | 1 AEnjoyable 190 天前 via Android 看一下路由,说不定在 hkCMI 和 opendns 的域有 peer ? |
 | 2 docx 190 天前 via iPhone 广移去香港这个延迟也正常吧 |
 | 3 LnTrx 189 天前 如果证书是有效、可信的就不是劫持 |
 | 4 billccn 189 天前 DoH 的意义是只有 IP 的拥有者才可能被签发含有该 IP 的证书,这样中间人要攻击的话需要控制一个 CA 才行。 之前乱发证书的 CA 被发现以后都被浏览器除名了,相当于商业自杀。 |
 | 5 jackOff 189 天前 你这个查询路由该不会是 adguardhome 吧?扫描通用端口加这种路由一抓就能发现一堆自建 dns 服务器,阿祖建议收手吧 |
 | 6 Danswerme 189 天前 |
 | 7 znsb OP @jackOff 不是,我用一款叫“dnspyre"( https://github.com/Tantalor93/dnspyre)的 dns 性能测试工具做测试的 |
 | 8 jim9606 189 天前 via Android 一般要搞你是直接阻断 doh 连接等你回落到传统 dns |
| 9 znsb OP |
 | 11 wheat0r 189 天前 Anycast IP 是有可能被被运营商投毒的,运营商自己控制 BGP ,伪造一个 IP 地址并不困难。 但是证书就是另一个问题了。 |
 | 12 jqknono 189 天前 tls 不能劫持, 但是能阻断. 只有收到消息和收不到消息, 保证消息不会被篡改. v 站发图可以用 imgur |
 | 15 mofash 189 天前 本地劫持延迟只有 1 或者 2ms 都 20 多了肯定正常啊 |
 | 17 avrillavigne 189 天前  复制图片地址,手机 chrome 没得 |
| 18 AEnjoyable 189 天前 via Android @znsb #9 路由是正常的没有劫持 同上,如果运营商想要劫持 doh ,不管怎么样都得对证书下手 |
| 19 znsb OP 好的感谢哥们指导 |
Select Language
