为什么即使 DNS 服务器是假的，NSlookup 也会返回 IP 地址？

没有什么“确实”。如果您的 ISP 希望对 DNS 查询执行 MITM（中间人）攻击，它很容易将查询重定向到另一个目的地而不让您知道（至少不仅仅是基于回复的源 IP 地址） .

这是一个概念验证。以下是我局域网中主机的防火墙规则：

*nat

-A PREROUTING -p udp --dport 53 -m limit --limit 20/minute -j ACCEPT
-A PREROUTING -p udp --dport 53 -j DNAT --to-destination 192.168.1.1
-A POSTROUTING -p udp --dport 53 -j SNAT --to-source 192.168.1.110

COMMIT

这些规则基本上意味着如果平均有超过一定数量的 DNS 查询，则将查询重定向到特定主机（在这种情况下，它只是一个“正常”的 DNS 转发器/服务器，因为它本身不会伪造结果）；否则，接受它（即“按原样”“路由”它）。

最后一条规则导致回复首先被路由回它（通过将源伪装成自身），以便防火墙可以对具有原始目标的回复源执行“反向 NAT”（以及具有原始目标的回复目标）来源），它一直在跟踪。

这是我在 LAN 中的另一台主机上使用“中间人”主机作为不存在的 DNS 服务器的网关进行 DNS 查询时的结果：

[tom@archlinux ~]$ ssh 192.168.1.143
Last login: Fri Oct 25 14:32:11 2019 from 192.168.1.110
[tom@alarm ~]$ ip r get 200.100.200.100
200.100.200.100 via 192.168.1.110 dev eth0 src 192.168.1.143 uid 1000 
    cache 
[tom@alarm ~]$ while true; do timeout 1 nslookup www.google.com 200.100.200.100; if [ $? -eq 0 ]; then sleep 5; else echo "timeout!"; fi; done

timeout!

timeout!

timeout!

timeout!

timeout!

timeout!

timeout!
Server:     200.100.200.100
Address:    200.100.200.100#53

Non-authoritative answer:
Name:   www.google.com
Address: 172.217.26.132
Name:   www.google.com
Address: 2404:6800:4005:805::2004


timeout!

timeout!
Server:     200.100.200.100
Address:    200.100.200.100#53

Non-authoritative answer:
Name:   www.google.com
Address: 172.217.26.132
Name:   www.google.com
Address: 2404:6800:4005:805::2004


timeout!

timeout!

timeout!
Server:     200.100.200.100
Address:    200.100.200.100#53

Non-authoritative answer:
Name:   www.google.com
Address: 172.217.26.132
Name:   www.google.com
Address: 2404:6800:4005:805::2004

^C