為何用 Google DNS 8.8.8.8 在香港地區 ISP 無法解釋 ithome.com.tw 域名 IP?

域名解釋 ithome dns

清心明月 2020-01-01 04:44:24 ‧ 8867 瀏覽

分享至

今天為2020年1月1日。

為何用 DNS 8.8.8.8, 8.8.4.4 無法解釋 ithome.com.tw 域名 IP?

這個問題已經出現一個月了

我現在要用 DNS 1.1.1.1 才能正常運作。(用自建的DNS Server也正常)

有誰知道發生什麼事嗎？

香港寬頻 (Windows 10)

nslookup ithome.com.tw 8.8.8.8
伺服器:  dns.google
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** 對 dns.google 的要求逾時

和記電訊 (Linux)

nslookup ithome.com.tw 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

** server can't find ithome.com.tw: SERVFAIL

中國移動 (Windows 7)

nslookup ithome.com.tw 8.8.8.8
伺服器:  dns.google
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** 對 dns.google 的要求逾時

Traceroute Report

https://dns.google.com/

Result for ithome.com.tw/A with DNSSEC validation:
{
  "Status": 2,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": false,
  "CD": false,
  "Question": [
    {
      "name": "ithome.com.tw.",
      "type": 1
    }
  ],
  "Comment": "Name servers did not respond [220.130.119.129, 210.59.230.252]."
}

在上面的訊息顯示，"Name servers did not respond" <- 名稱服務器未響應
正常的話，應該是 "Comment": "Response from [220.130.119.129, 210.59.230.252]."

以下一個正常例子：

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": false,
  "CD": false,
  "Question": [
    {
      "name": "tophk.net.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "tophk.net.",
      "type": 1,
      "TTL": 299,
      "data": "210.3.122.66"
    }
  ],
  "Comment": "Response from 173.245.59.83."
}

看更多先前的討論...收起先前的討論...

ccutmis iT邦高手 2 級 ‧ 2020-01-01 08:29:10 檢舉

聯絡你的ISP 跟他們反應這個問題

ayu iT邦好手 2 級 ‧ 2020-01-02 07:00:17 檢舉

1) ns1.ithome.com.tw ns2.ithome.com.tw 的[ithome.com.tw] zone data不是同個來源
2) 1.1.1.1 似乎只cache ns1.ithome.com.tw 的回應結果, 以及第一次查詢以後, max-cache-ttl=10800 然後TTL遞減
3) 8.8.8.8 有 max-cache-ttl=21600 然後TTL遞減

清心明月 iT邦新手 3 級 ‧ 2020-01-02 17:09:52 檢舉

已找過ISP了，但最後發現 ISP 無關。我試過3家ISP，都有這個問題。

ayu iT邦好手 2 級 ‧ 2020-01-02 18:34:28 檢舉

可否貼上 traceroute 8.8.8.8 結果

清心明月 iT邦新手 3 級 ‧ 2020-01-02 21:24:27 檢舉

貼了！

清心明月 iT邦新手 3 級 ‧ 2020-01-02 21:35:21 檢舉

ayu 大大，可否看看 https://dns.google.com/ 出來的效果，是否與我相同？

ayu iT邦好手 2 級 ‧ 2020-01-03 08:26:08 檢舉

與你相反, 很正常, 類似你舉的正常例子.
也試過幾個線上查詢網站, 從世界各地解析 ithome.com.tw 的A record 是沒問題的

會是偉大的GFW對dns.google的回應做了手腳嗎?

清心明月 iT邦新手 3 級 ‧ 2020-01-03 14:22:44 檢舉

這個跟GFW無關，因香港不在這個範圍，GFW只針對大陸地區。其實我曾經發現 ithome.com.tw 有在用 amazon 的cloud 服務，在香港地區，有部份的 ISP 對 Goggle DNS 解釋的 ithome.com.tw IP Address 出現不同結果。而且，還轉向經 HKIX (香港數據交換中心)到 ithome.com.tw(Amazon Hong Kong Cloud Server) 。正常情況下，這個不排除是由amazon 引起。目標是，讓部份海外IP用不同的 CDN加速頻寬。估計，ithome.com.tw 自己也不知道海外出了問題。估計ithome.com.tw也可能用了一些針對不同地區IP對DNS要求時，提供不同地址解釋這個技術出差錯了。

ayu iT邦好手 2 級 ‧ 2020-01-03 18:39:56 檢舉

ithome.com.tw@8.8.4.4 (Default):
ithome.com.tw. 21599 IN A 220.130.119.130
ithome.com.tw@165.87.13.129 (AT&T (US)):
ithome.com.tw. 50156 IN A 220.130.119.130
ithome.com.tw@1.1.1.1 (CloudFlare):
ithome.com.tw. 7286 IN A 220.130.119.130
ithome.com.tw@8.26.56.26 (Comodo (US)):
ithome.com.tw. 22971 IN A 220.130.119.130
ithome.com.tw. 86400 IN NS ns1.ithome.com.tw.
ithome.com.tw. 86400 IN NS ns2.ithome.com.tw.
ithome.com.tw@8.8.8.8 (Google):
ithome.com.tw. 21599 IN A 220.130.119.130
ithome.com.tw@168.95.1.1 (HiNet (TW)):
ithome.com.tw. 48021 IN A 220.130.119.130
ithome.com.tw@208.67.222.222 (OpenDNS):
ithome.com.tw. 86400 IN A 220.130.119.130
ithome.com.tw@9.9.9.9 (Quad9):
ithome.com.tw. 43200 IN A 220.130.119.130
ithome.com.tw@144.217.51.168 (Securolytics (CA)):
ithome.com.tw. 86400 IN A 220.130.119.130
ithome.com.tw@195.129.12.122 (UUNET (CH)):
ithome.com.tw. 50158 IN A 220.130.119.130
ithome.com.tw@192.76.144.66 (UUNET (DE)):
ithome.com.tw. 50158 IN A 220.130.119.130
ithome.com.tw@158.43.240.3 (UUNET (UK)):
ithome.com.tw. 50158 IN A 220.130.119.130
ithome.com.tw@198.6.100.25 (UUNET (US)):
ithome.com.tw. 50159 IN A 220.130.119.130
ithome.com.tw@64.6.64.6 (Verisign (US)):
ithome.com.tw. 86400 IN A 220.130.119.130
ithome.com.tw@77.88.8.8 (Yandex (RU)):
ithome.com.tw. 86400 IN A 220.130.119.130

ayu iT邦好手 2 級 ‧ 2020-01-03 20:57:26 檢舉

再補幾個中國境內的:
ithome.com.tw @202.46.36.3 (ptr.cnsat.com.cn,日升(深圳)):
ithome.com.tw. 86061 IN A 220.130.119.130
ithome.com.tw @114.114.114.114 (public1.114dns.com,(山東)):
ithome.com.tw. 86290 IN A 220.130.119.130
ithome.com.tw @210.2.4.8 (CNNIC):
ithome.com.tw. 85774 IN A 220.130.119.130
這樣, ithome應該沒有用bind view feature囉~

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

ayu

iT邦好手 2 級 ‧ 2020-01-05 00:20:49

最佳解答

先說ithome.com.tw這邊的問題,
(1) 上下層不一致
ns1 ns2 定義的NS IP, 跟com.tw這層定義的剛好對調, 所以並沒有影響解析, 但必須避免, 應立即修正.
(2) 2個authoritive dns資料不同調
各弄各的不累嗎? master/slave做zone transfer不就好了?

再說觀念問題,

public dns(Cloudflare,Google,IBM..) 只是 cache only dns server, 並沒有權威回答
public dns 可依據其服務策略調整TTL(例max-cache-ttl), 未必會忠於原本的設定值
網域是否有問題應以authoritive dns回答為依據, 而不該拿public dns回答來判斷
eg. dig @ns1.ithome.com.tw ithome.com.tw a
dig +tcp @ns1.ithome.com.tw ithome.com.tw a
如果真是ithome的兩台dns無法回答, 那麼在TTL時效之後, 其它的public dns, 以及你自建的DNS server也無法回答

會是ithome用了Bind view feature, 因應不同地區來回答查詢嗎?
如前面貼的討論, 已試過多個地區回應結果都相同, 應該是沒有.

造成這種現象的可能原因, 由於事發在香港, 我會優先懷疑DNS cache poisoning的可能性.(貼圖自APNIC blog)

鑑於DNS udp特性, 相關攻擊日益嚴重, 因此開始有改走 tcp/TLS/HTTPS 的計畫, 但目前仍在實驗階段且有爭議.
有興趣的邦友可以玩玩看 Firefox 的 DNS over HTTPS, 只需簡單設定就可體驗. Firefox DNS over HTTPS

[參考]

回應 2
分享
檢舉

清心明月 iT邦新手 3 級 ‧ 2020-01-06 19:44:15 檢舉

好詳細，我也覺得是DNS汙染問題。應該我也沒能處理。先謝謝。

ayu iT邦好手 2 級 ‧ 2020-01-08 13:43:49 檢舉

只能先避免拿 dns.google 來當 resolver/forwarder

登入發表回應

海綿寶寶

iT邦大神 1 級 ‧ 2020-01-01 07:21:01

我不知道發生什麼事
我用 8.8.8.8/1.1.1.1/168.95.1.1 的結果都一樣

C:\>nslookup
預設伺服器:  dns.hinet.net
Address:  

> server 8.8.8.8
預設伺服器:  dns.google
Address:  8.8.8.8

> ithome.com.tw
伺服器:  dns.google
Address:  8.8.8.8

未經授權的回答:
名稱:    ithome.com.tw
Address:  220.130.119.130

> server 1.1.1.1
預設伺服器:  one.one.one.one
Address:  1.1.1.1

> ithome.com.tw
伺服器:  one.one.one.one
Address:  1.1.1.1

未經授權的回答:
名稱:    ithome.com.tw
Address:  220.130.119.130

> server 168.95.1.1
預設伺服器:  dns.hinet.net
Address:  168.95.1.1

> ithome.com.tw
伺服器:  dns.hinet.net
Address:  168.95.1.1

未經授權的回答:
名稱:    ithome.com.tw
Address:  220.130.119.130

回應 3
分享
檢舉

清心明月 iT邦新手 3 級 ‧ 2020-01-02 17:14:37 檢舉

就是奇怪，我用幾家ISP，都發現 8.8.8.8 有異常。

去 Google DNS 檢查也顯示一個異常 Comment:
Name servers did not respond [210.59.230.252, 220.130.119.129].

https://dns.google.com/

{
  "Status": 2,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": false,
  "CD": false,
  "Question": [
    {
      "name": "ithome.com.tw.",
      "type": 1
    }
  ],
  "Comment": "Name servers did not respond [210.59.230.252, 220.130.119.129]."
}

清心明月 iT邦新手 3 級 ‧ 2020-01-02 17:20:50 檢舉

nslookup ithome.com.tw 8.8.8.8
伺服器:  dns.google
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** 對 dns.google 的要求逾時

清心明月 iT邦新手 3 級 ‧ 2020-01-02 17:21:15 檢舉

nslookup ithome.com.tw 1.1.1.1
伺服器:  one.one.one.one
Address:  1.1.1.1

未經授權的回答:
名稱:    ithome.com.tw
Address:  220.130.119.130

登入發表回應

一級屠豬士

iT邦大師 1 級 ‧ 2020-01-01 10:10:43

我使用 dig 來做測試,好做對照.

回應 1
分享
檢舉

清心明月 iT邦新手 3 級 ‧ 2020-01-02 17:19:37 檢舉

去 https://dns.google.com/ 檢查，出現異常。
我在香港也測試過幾家ISP，Google DNS 對 ithome.com.tw 也不能正常操作。沒法了，看來ithome.com.tw自己出了事也不知道。

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22201 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙