如何判断DNS是否被重定向？

Question

我正在尝试使用 DNS 服务器基准测试实用程序 ( namebench ) 来优化我的连接。我以前使用过这个相同的实用程序，并且它之前没有给我带来任何问题；我意识到我不久前运行了一个干净的操作系统安装，所以我的本地设置被擦除了。

我将路由器 DNS 设置从之前（已过日期）的结果更改为从 ISP 获取，刷新了 DNS 缓存，然后继续运行 namebench，但遇到了错误消息：

因为我知道这不是路由器的问题，所以我联系了我的 ISP (Charter Spectrum) 并请求他们的技术支持，但他们建议他们不要拦截或重定向 DNS 请求。

我对网络问题不太了解，所以我想我应该来这里问问最可能的原因是什么以及如何解决它？我确实确认至少有一名其他最终用户在问题跟踪页面上提交了此行为，但开发团队尚未接受/解决该问题。谢谢你！

编辑：为了响应以下答案中提供的新信息，我正在更新我的帖子以包含更多信息，希望它能澄清并帮助缩小范围。

• 虽然我安装了 Cyber​​Ghost VPN，但我没有在启动时运行它，只是偶尔打开它一次。据我所知，它在基准测试期间肯定没有运行（除非有一些后台进程或服务以模糊的名称运行）。
• 我没有安装任何家长控制软件，WinDefender 是唯一正在运行的主动反恶意软件（不是我的选择）；我安装了 Malwarebytes + Spybot，但仅用于前者的手动扫描和后者的浏览器接种；同样，两者都不在启动时运行。
• 我确实使用 AdBLockPlus 浏览器扩展（在 Vivaldi 和 Chrome 上运行）；我还修改了我的主机文件以包含这些.
• 我禁用了路由器访客 Wifi；NAT 设置为开放。
• 我的硬件：
  • Arris 冲浪板 (SB6190)（非 ISP）
  • Netgear X4S R7800（非 ISP）
  • Win 10 专业版 x64
  • 华硕 ROG Hero X Maximus (Wifi AC)

Answer 1

如何判断DNS是否被重定向？

一种方法是发送查询，其响应取决于服务器。诀窍是检查 5-6 个不同的服务器，并期望收到 5-6 个不同的响应。现在这并不能保证 DNS 拦截不会发生……但如果您每次都收到相同的响应（或根本没有响应），这绝对表明 DNS 拦截实际上正在发生。

许多（但不是全部）DNS 服务器使用自己的主机名或其他一些部分唯一的标签响应以下查询：

• 主机名.bind/CH/TXT
• id.服务器/CH/TXT

例如，所有[a-m].root-servers.net（DNS 根区域服务器）都将响应此检查。（请注意，它们是任播的，因此根据您所在的位置，您将得到与我的示例显示的不同的响应；这是正常的。）

这是在 Windows 上进行此类查询的方法：

C:\> nslookup -class=CHAOS -q=TXT 主机名.bind j.root-servers.net
服务器：未知
地址：192.58.128.30

非权威答案：
主机名.绑定文本 =

        “rootns-wie2”

Level3 公共 DNS 服务器 (4.2.2.[1-5]) 也响应这两个查询（尽管 CloudFlare 和 Google 公共 DNS 都不响应）：

• nslookup -class=CHAOS -q=TXT hostname.bind 4.2.2.2

第二种方法：一些 DNS 服务器还提供不同类型的检查 - 它们的查询始终以您自己的IP 地址进行响应。如果您直接针对该服务器运行此查询，并且它显示的 IP 地址与路由器的“WAN”地址不同，那么这始终是一个不好的迹象。

一些已知的 IP 地址检查器：

• nslookup whoami.akamai.net. ns1-1.akamaitech.net.

• nslookup -q=TXT o-o.myaddr.l.google.com. ns2.google.com.

• nslookup myip.opendns.com. resolver1.opendns.com.

最可能的原因是什么以及如何解决？

它可能是您计算机上安装的某些 VPN 软件。（此重定向可能是“DNS 泄漏防护”功能的一部分。）

它可能是您在计算机或路由器上安装的某些恶意软件或家长控制软件。

这可能是您拥有的某种广告拦截系统。（例如，Pi-hole 通常与 DNS 重定向一起使用，因为它的工作原理是阻止对广告服务器的 DNS 请求。）

它可能是路由器的“强制门户”功能（“访客 Wi-Fi”或“公共 Wi-Fi”配置的常见部分，用于提供基于网络浏览器的 Wi-Fi 登录表单）。

当然，这可能是 ISP 的支持人员对网络人员实际在做什么一无所知。例如（我说的是一般情况，而不是 Charter/Spectrum），ISP 可能会尝试 DNS 拦截来强制政府强制执行网站封锁。

因为我知道这不是路由器

您实际上并没有表明它不是路由器。

路由器中的“DNS 服务器”设置通常是建议性的。它通过 DHCP 发布，以便您的操作系统在程序使用通用 gethostbyname() 类型函数时知道要使用哪些服务器，但通常不会强制执行。如果一个程序不使用这些功能——也就是说，如果它通过 TCP/UDP 构建并发送自己的 DNS 查询，就像 namebench 所做的那样——那么操作系统或路由器配置就会被简单地绕过。

该错误消息谈论的是一种不同类型的配置：防火墙/NAT 规则实际上拦截所有传出的 DNS 数据包并将它们重定向到新的目的地。这些可以手动创建，或者作为（例如）家长控制功能的一部分添加，或者由路由器上的恶意软件安装。

（路由器的行为并不是一成不变的；ISP 有时会推出固件更新，这可能会增加功能或改变某些功能的工作方式。）