V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Devmingwang
V2EX  ›  宽带症候群

DNSSEC 可以避免我国 DNS 污染么?

  •  
  •   Devmingwang · 2016-12-23 01:37:44 +08:00 via Android · 16654 次点击
    这是一个创建于 2887 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题,实在想不明白,我国绝大多数 DNS 都不支持 DNSSEC ,就是不知道根镜像支持不支持咧。
    域名启用 DNSSEC 能否避免自己被 DNS 污染?有没有什么作用?
    11 条回复    2024-07-30 03:23:27 +08:00
    Showfom
        1
    Showfom  
       2016-12-23 04:52:07 +08:00
    首先你本地的 DNS 得支持
    mewsf
        2
    mewsf  
       2016-12-23 06:45:07 +08:00 via Android   ❤️ 2
    dnssec 只是确保返回的数据是有效的,但不提供加密等功能,所以不能防止 dns 污染,如果要防污染,可以让 dns
    mewsf
        3
    mewsf  
       2016-12-23 06:48:32 +08:00 via Android
    (不小心点了回复,接上文) 目前防 dns 污染可以让 dns 服务器运行在非标准端口上或者用 tcp 查询,也可以用 dnscrypt ,这些是客户端防污染措施,域名本身开启 dnssec 不能防止污染
    q397064399
        4
    q397064399  
       2016-12-23 07:49:05 +08:00
    用 tcp 端口 加密转发到国外服务器上面,然后解析结果 加密传回来,在我大局域网内 应该各省不会有
    我大 GFW 的存在了
    zsj950618
        5
    zsj950618  
       2016-12-23 08:11:36 +08:00 via Android   ❤️ 1
    dnssec 可以保证要么用户得到正确的记录,要么直接查询失败。当然要在用户所用的递归 dns 上开启强制 dnssec
    z991238
        6
    z991238  
       2016-12-23 08:53:42 +08:00
    @zsj950618 要 DNS 支持。不支持说这个都没用
    ZE3kr
        7
    ZE3kr  
       2016-12-23 23:05:22 +08:00 via iPhone
    没用的,开 dnssec 前是:被污染。开 dnssec 后有两种情况,一是被污染;二,如果 DNS 服务器支持,那就是无法访问,返回的 IP 地址作为无效。总之,不能防污染,但能验证是否污染。

    DNSSEC 还不如来 HTTPS 同时加上 HSTS Preload ,这样就算 DNS 被污染了,运营商也不给你做缓存和篡改了,被污染还能保持访问,而且安全性兼顾。

    @mewsf tcp 查询没用的,我试过在国内查.一些.网站
    ZE3kr
        8
    ZE3kr  
       2016-12-23 23:06:53 +08:00 via iPhone
    @z991238 也不需要缓存 DNS 服务器支持,客户端使用自己的一套 DNS 不要运营商的缓存,就能支持 DNSSEC 。
    a86913179
        9
    a86913179  
       2017-01-01 14:08:01 +08:00
    首先,网站得支持,然后得 NS 服务器支持,然后得递归 DNS 支持,所以没什么卵用,还是老老实实 TCP 查询或者非 53 端口
    daisyfloor
        10
    daisyfloor  
       111 天前
    @a86913179
    @ZE3kr

    快 10 年过去了,回来看这个问题。是不是现在我都用 Doh 查询了,那 DNSSEC 这个东西就没什么用了?

    DNSSEC 和 DOH 冲突么?

    我刚刚在 CF 上给站点开启 DNSSEC ,目前看了一些文章和回答之后感觉很困惑,似乎没什么用。这种东西怎么不退出历史舞台。。。
    ZE3kr
        11
    ZE3kr  
       111 天前
    @daisyfloor 不冲突。你这个问题就好比 “我现在都用加密的 VPN 访问网页了,所以 HTTPS 这个东西没什么用了” 一样
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5730 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 03:42 · PVG 11:42 · LAX 19:42 · JFK 22:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.