是否有互联网组织可以投诉 ISP DNS 劫持？

我知道世界上有零个国家拥有一个监管机构，a) 关心并且 b) 有权惩罚 IP 欺骗犯规行为。

国际组织都缺乏b），在联邦层面你可能也不会成功，例如：

FCC（美国）可能是最受欢迎的，它在某种程度上确实关心并乐意登记您的正式客户投诉，然后建议您部署 DNSSEC 以缓解安全问题并承认他们对 ISP 的权力为零。

Bundesnetzagentur（德国）属于“有权力”组织（他们确实起诉电话号码欺骗、低网速、非法 ToC）最近（在类似情况下）明确告诉我他们不在乎。

那么你能做什么呢？

• 众所周知，一些 ISP 会这样做，并且或多或少地公开承认他们在什么情况下会这样做。您可能能够更改您的合同以避免它（例如，大多数 ISP 有单独的最终用户和业务合同，后者包括较少的恶作剧）。
• 德国 DSL 前垄断企业Telekom Deutschland自 2019 年 4 月起停止提供欺骗性回应，显然是在得知有关数据操纵的刑事调查程序和基于隐私的正式投诉后不久。他们一直通过提供虚假的 A 记录将客户重定向到广告合作伙伴。由于目前很难估计公司可能因侵犯隐私而受到的制裁，因此GDPR等中此类条款的威胁可能就足够了。

话虽如此，您还不确定您的 ISP 是否正在这样做，您的测试不充分，查询更新的速度不是确定性的，甚至对于 googles 8.8.8.8（显然不是一台机器，并且不一定为每台机器运行相同的设置，请参阅https://peering.google.com/）。一些同样不充分（因为只捕捉到一些特殊情况）的测试是：

• 谷歌为 SERVFAIL 服务dig version.bind chaos txt @8.8.8.8，但中间的缓存解析器通常会做出响应（通常是粗鲁的边缘）。
• 查询在其各自的 TLD ( ) 中未正确编码或以其他方式无效的域名dig ?.com. in TXT @8.8.8.8- Google 会说 NXDOMAIN，其他解析器会说 SERVFAIL。
• 如果您的 ISP 正在为所有和任何 DNS 查询执行此操作，而不仅仅是 google 查询，您可以通过设置一个简单的 dns 解析器（类似dnsmasq --no-resolv --server /example.com/127.0.0.8/ --bind-interfaces --listen-address 192.0.2.1 --log-queries）来验证，然后在您通过不同的 ISP 访问它时查看谁在查询它（dig example.com @192.0.2.1）。最明显的线索是，当您直接查询服务器时，您收到的响应比解析器日志中显示的查询多（这就是我确定我是否被缓存解析器 MitM'd 的方式）。