修改BIND9实现TCP DNS

近日适逢某平方节日,Google国外网站陆续出现被墙的状况,想必大家都是知道的。

其实本人一直在使用SSH的Socket代理功能爬梯子,效果还是不错的,加上学校有原生IPv6支持,就算不走代理一般也能上各大网站。唯独有一点,不论是浏览器还是操作系统,DNS均使用了UDP协议,而UDP显然是无法走Socket代理的,所以对于Youtube、Facebook这些网站由于域名解析问题,仍旧无法访问。

功夫网

不过,事情总有解决的办法。

由于习惯于使用UDP协议的DNS,很多人不知道其实DNS也是支持TCP协议的,功夫网只对UDP的DNS进行了劫持和污染,TCP DNS则可畅通无阻。

唯一的问题就是,浏览器、操作系统等都无法直接使用TCP DNS,我前一段时间一直在使用Tcp-DNS-proxy解决这个问题。这是一个基于Python的小程序,可以通过TCP连接DNS服务器,并在本地监听UDP53端口,实现TCP DNS的中转,程序简单运行方便,比较推荐。

不过Tcp-DNS-proxy本身也存在着一些问题,比如没有完整的缓存机制,导致查询速度较慢,程序稳定性和抗并发性一般。于是我考虑能否有更加稳定的解决方案?

最终还是选定了BIND这一老牌的DNS服务器,利用forward功能可以比较容易的实现对DNS的转发。Ubuntu 14.04下修改配置如下:


/etc/bind/named.conf.options
...
options {
    directory "/var/cache/bind";

    // If there is a firewall between you and nameservers you want
    // to talk to, you may need to fix the firewall to allow multiple
    // ports to talk.  See http://www.kb.cert.org/vuls/id/800113

    // If your ISP provided one or more IP addresses for stable 
    // nameservers, you probably want to use them as forwarders.  
    // Uncomment the following block, and insert the addresses replacing 
    // the all-0's placeholder.

    forward only;
    forwarders {
        8.8.8.8;
        8.8.4.4;
    };

    allow-query {
        any;
    };

    //========================================================================
    // If BIND logs error messages about the root key being expired,
    // you will need to update your keys.  See https://www.isc.org/bind-keys
    //========================================================================
    dnssec-validation auto;

    auth-nxdomain no;    # conform to RFC1035
    listen-on-v6 { any; };
};
...

仅仅这样是不够的,我们需要的是TCP DNS转发(代理),但经过测试BIND会首选UDP解析进行递归查询,经过搜索Google、查看官方文档、查看源代码,我发现从配置上修改这条路是行不通的。

没有办法,只能动手改源代码了。不过还好,最近嵌入式课程实验我尝试把NginX移植到了ARM平台上,对于裁剪代码还是有心理准备的。

经过几个小时的努力,翻看了几个重要的.c文件,最终我确定了BIND9(这里选用bind-9.10.0-P1)发出查询的函数,是位于lib/dns/resolver.c文件第1403行的fctx_query函数,节选其中1446至1451行如下:


query->mctx = fctx->mctx;
query->options = options;
query->attributes = 0;
query->sends = 0;
query->connects = 0;
query->dscp = addrinfo->dscp;

其中query->options = options;这一行中options利用位运算存储了是否使用TCP连接的变量DNS_FETCHOPT_TCP,我们需要做的就是将这一行改为:


query->options = options | DNS_FETCHOPT_TCP;

强制让BIND使用TCP进行递归查询。之后进行编译,覆盖二进制文件即可,在此就不再赘述。效果如下:

WireShark截包

可以看到,第1、36报文是客户端查询BIND服务器,为UDP协议;其他报文为BIND查询8.8.8.8,为TCP报文(颜色不同)。

一条评论

  1. 我用了一段时间之后发现BIND9的稳定性不是很好,不知道是它本身的问题还是修改的问题。目前我改用dnscrypt-proxy这个开源项目了。

    Reply
  2. 回复楼上几位:行或者不行,要看使用条件,在IPv6健全或IPv4使用SSH代理的网络环境下,修改正确版本的BIND9,本方案可实现翻墙。本方案是技术解决方案不是翻墙教程,是为解决TCP DNS,想翻墙出门右转有无数VPN等着。

    Reply
  3. tcp-only “BIND” 用这关键字才搜到博主这文章,佩服博主的能力,会开发真好
    感叹一下,BIND真的挺落后的,unbound应该好早就有这功能了
    好消息是,9.11.0a1也支持tcp了
    只要能支持tcp,接下来就自由发挥了,udp over丢包
    * A new tcp-only option can be specified in server statements to
    force named to connect to the specified server via TCP. [RT #37800]
    https://ftp.isc.org/isc/bind/9.11.0a1/RELEASE-NOTES-bind-9.11.0a1.txt

    Reply

文章评论: