iT邦幫忙

2

為何用 Google DNS 8.8.8.8 在香港地區 ISP 無法解釋 ithome.com.tw 域名 IP?

今天為2020年1月1日。

為何用 DNS 8.8.8.8, 8.8.4.4 無法解釋 ithome.com.tw 域名 IP?

這個問題已經出現一個月了

我現在要用 DNS 1.1.1.1 才能正常運作。(用自建的DNS Server也正常)

有誰知道發生什麼事嗎?

香港寬頻 (Windows 10)

nslookup ithome.com.tw 8.8.8.8
伺服器:  dns.google
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** 對 dns.google 的要求逾時

和記電訊 (Linux)

nslookup ithome.com.tw 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

** server can't find ithome.com.tw: SERVFAIL

中國移動 (Windows 7)

nslookup ithome.com.tw 8.8.8.8
伺服器:  dns.google
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** 對 dns.google 的要求逾時

Traceroute Report
https://ithelp.ithome.com.tw/upload/images/20200102/20117902z0sAzJq5IU.png

https://dns.google.com/

Result for ithome.com.tw/A with DNSSEC validation:
{
  "Status": 2,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": false,
  "CD": false,
  "Question": [
    {
      "name": "ithome.com.tw.",
      "type": 1
    }
  ],
  "Comment": "Name servers did not respond [220.130.119.129, 210.59.230.252]."
}

在上面的訊息顯示,"Name servers did not respond" <- 名稱服務器未響應
正常的話,應該是 "Comment": "Response from [220.130.119.129, 210.59.230.252]."

以下一個正常例子:

{
  "Status": 0,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": false,
  "CD": false,
  "Question": [
    {
      "name": "tophk.net.",
      "type": 1
    }
  ],
  "Answer": [
    {
      "name": "tophk.net.",
      "type": 1,
      "TTL": 299,
      "data": "210.3.122.66"
    }
  ],
  "Comment": "Response from 173.245.59.83."
}
看更多先前的討論...收起先前的討論...
ccutmis iT邦高手 2 級 ‧ 2020-01-01 08:29:10 檢舉
聯絡你的ISP 跟他們反應這個問題
ayu iT邦好手 2 級 ‧ 2020-01-02 07:00:17 檢舉
1) ns1.ithome.com.tw ns2.ithome.com.tw 的[ithome.com.tw] zone data不是同個來源
2) 1.1.1.1 似乎只cache ns1.ithome.com.tw 的回應結果, 以及第一次查詢以後, max-cache-ttl=10800 然後TTL遞減
3) 8.8.8.8 有 max-cache-ttl=21600 然後TTL遞減
已找過ISP了,但最後發現 ISP 無關。我試過3家ISP,都有這個問題。
ayu iT邦好手 2 級 ‧ 2020-01-02 18:34:28 檢舉
可否貼上 traceroute 8.8.8.8 結果
貼了!
ayu 大大, 可否看看 https://dns.google.com/ 出來的效果,是否與我相同?
ayu iT邦好手 2 級 ‧ 2020-01-03 08:26:08 檢舉
與你相反, 很正常, 類似你舉的正常例子.
也試過幾個線上查詢網站, 從世界各地解析 ithome.com.tw 的A record 是沒問題的

會是偉大的GFW對dns.google的回應做了手腳嗎?
這個跟GFW無關,因香港不在這個範圍,GFW只針對大陸地區。其實我曾經發現 ithome.com.tw 有在用 amazon 的cloud 服務,在香港地區,有部份的 ISP 對 Goggle DNS 解釋的 ithome.com.tw IP Address 出現不同結果。而且,還轉向經 HKIX (香港數據交換中心)到 ithome.com.tw(Amazon Hong Kong Cloud Server) 。正常情況下,這個不排除是由amazon 引起。目標是,讓部份海外IP用不同的 CDN加速頻寬。估計,ithome.com.tw 自己也不知道海外出了問題。估計ithome.com.tw也可能用了一些針對不同地區IP對DNS要求時,提供不同地址解釋這個技術出差錯了。
ayu iT邦好手 2 級 ‧ 2020-01-03 18:39:56 檢舉
ithome.com.tw@8.8.4.4 (Default):
ithome.com.tw. 21599 IN A 220.130.119.130
ithome.com.tw@165.87.13.129 (AT&T (US)):
ithome.com.tw. 50156 IN A 220.130.119.130
ithome.com.tw@1.1.1.1 (CloudFlare):
ithome.com.tw. 7286 IN A 220.130.119.130
ithome.com.tw@8.26.56.26 (Comodo (US)):
ithome.com.tw. 22971 IN A 220.130.119.130
ithome.com.tw. 86400 IN NS ns1.ithome.com.tw.
ithome.com.tw. 86400 IN NS ns2.ithome.com.tw.
ithome.com.tw@8.8.8.8 (Google):
ithome.com.tw. 21599 IN A 220.130.119.130
ithome.com.tw@168.95.1.1 (HiNet (TW)):
ithome.com.tw. 48021 IN A 220.130.119.130
ithome.com.tw@208.67.222.222 (OpenDNS):
ithome.com.tw. 86400 IN A 220.130.119.130
ithome.com.tw@9.9.9.9 (Quad9):
ithome.com.tw. 43200 IN A 220.130.119.130
ithome.com.tw@144.217.51.168 (Securolytics (CA)):
ithome.com.tw. 86400 IN A 220.130.119.130
ithome.com.tw@195.129.12.122 (UUNET (CH)):
ithome.com.tw. 50158 IN A 220.130.119.130
ithome.com.tw@192.76.144.66 (UUNET (DE)):
ithome.com.tw. 50158 IN A 220.130.119.130
ithome.com.tw@158.43.240.3 (UUNET (UK)):
ithome.com.tw. 50158 IN A 220.130.119.130
ithome.com.tw@198.6.100.25 (UUNET (US)):
ithome.com.tw. 50159 IN A 220.130.119.130
ithome.com.tw@64.6.64.6 (Verisign (US)):
ithome.com.tw. 86400 IN A 220.130.119.130
ithome.com.tw@77.88.8.8 (Yandex (RU)):
ithome.com.tw. 86400 IN A 220.130.119.130
ayu iT邦好手 2 級 ‧ 2020-01-03 20:57:26 檢舉
再補幾個中國境內的:
ithome.com.tw @202.46.36.3 (ptr.cnsat.com.cn,日升(深圳)):
ithome.com.tw. 86061 IN A 220.130.119.130
ithome.com.tw @114.114.114.114 (public1.114dns.com,(山東)):
ithome.com.tw. 86290 IN A 220.130.119.130
ithome.com.tw @210.2.4.8 (CNNIC):
ithome.com.tw. 85774 IN A 220.130.119.130
這樣, ithome應該沒有用bind view feature囉~
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
ayu
iT邦好手 2 級 ‧ 2020-01-05 00:20:49
最佳解答

先說ithome.com.tw這邊的問題,
(1) 上下層不一致
ns1 ns2 定義的NS IP, 跟com.tw這層定義的剛好對調, 所以並沒有影響解析, 但必須避免, 應立即修正.上下層不一致
(2) 2個authoritive dns資料不同調
各弄各的不累嗎? master/slave做zone transfer不就好了?authoritive dns資料不同調

再說觀念問題,

  • public dns(Cloudflare,Google,IBM..) 只是 cache only dns server, 並沒有權威回答
  • public dns 可依據其服務策略調整TTL(例max-cache-ttl), 未必會忠於原本的設定值
  • 網域是否有問題應以authoritive dns回答為依據, 而不該拿public dns回答來判斷
    eg. dig @ns1.ithome.com.tw ithome.com.tw a
    dig +tcp @ns1.ithome.com.tw ithome.com.tw a
  • 如果真是ithome的兩台dns無法回答, 那麼在TTL時效之後, 其它的public dns, 以及你自建的DNS server也無法回答

會是ithome用了Bind view feature, 因應不同地區來回答查詢嗎?
如前面貼的討論, 已試過多個地區回應結果都相同, 應該是沒有.

造成這種現象的可能原因, 由於事發在香港, 我會優先懷疑DNS cache poisoning的可能性.(貼圖自APNIC blog)
DNS cache poisoning

鑑於DNS udp特性, 相關攻擊日益嚴重, 因此開始有改走 tcp/TLS/HTTPS 的計畫, 但目前仍在實驗階段且有爭議.
有興趣的邦友可以玩玩看 Firefox 的 DNS over HTTPS, 只需簡單設定就可體驗.Firefox DNS over HTTPS

[參考]

好詳細,我也覺得是DNS汙染問題。應該我也沒能處理。先謝謝。

ayu iT邦好手 2 級 ‧ 2020-01-08 13:43:49 檢舉

只能先避免拿 dns.google 來當 resolver/forwarder

1
海綿寶寶
iT邦大神 1 級 ‧ 2020-01-01 07:21:01

我不知道發生什麼事
我用 8.8.8.8/1.1.1.1/168.95.1.1 的結果都一樣
/images/emoticon/emoticon13.gif

C:\>nslookup
預設伺服器:  dns.hinet.net
Address:  

> server 8.8.8.8
預設伺服器:  dns.google
Address:  8.8.8.8

> ithome.com.tw
伺服器:  dns.google
Address:  8.8.8.8

未經授權的回答:
名稱:    ithome.com.tw
Address:  220.130.119.130

> server 1.1.1.1
預設伺服器:  one.one.one.one
Address:  1.1.1.1

> ithome.com.tw
伺服器:  one.one.one.one
Address:  1.1.1.1

未經授權的回答:
名稱:    ithome.com.tw
Address:  220.130.119.130

> server 168.95.1.1
預設伺服器:  dns.hinet.net
Address:  168.95.1.1

> ithome.com.tw
伺服器:  dns.hinet.net
Address:  168.95.1.1

未經授權的回答:
名稱:    ithome.com.tw
Address:  220.130.119.130

就是奇怪,我用幾家ISP,都發現 8.8.8.8 有異常。

去 Google DNS 檢查也顯示一個異常 Comment:
Name servers did not respond [210.59.230.252, 220.130.119.129].

https://dns.google.com/

{
  "Status": 2,
  "TC": false,
  "RD": true,
  "RA": true,
  "AD": false,
  "CD": false,
  "Question": [
    {
      "name": "ithome.com.tw.",
      "type": 1
    }
  ],
  "Comment": "Name servers did not respond [210.59.230.252, 220.130.119.129]."
}
nslookup ithome.com.tw 8.8.8.8
伺服器:  dns.google
Address:  8.8.8.8

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** 對 dns.google 的要求逾時
nslookup ithome.com.tw 1.1.1.1
伺服器:  one.one.one.one
Address:  1.1.1.1

未經授權的回答:
名稱:    ithome.com.tw
Address:  220.130.119.130
2
一級屠豬士
iT邦大師 1 級 ‧ 2020-01-01 10:10:43

我使用 dig 來做測試,好做對照.
https://ithelp.ithome.com.tw/upload/images/20200101/20050647gIQLKTSKfd.png

https://ithelp.ithome.com.tw/upload/images/20200101/2005064705tUAEDnqv.png

https://dns.google.com/ 檢查,出現異常。
我在香港也測試過幾家ISP,Google DNS 對 ithome.com.tw 也不能正常操作。沒法了,看來ithome.com.tw自己出了事也不知道。

我要發表回答

立即登入回答