1
Showfom 2016-12-23 04:52:07 +08:00
首先你本地的 DNS 得支持
|
2
mewsf 2016-12-23 06:45:07 +08:00 via Android 2
dnssec 只是确保返回的数据是有效的,但不提供加密等功能,所以不能防止 dns 污染,如果要防污染,可以让 dns
|
3
mewsf 2016-12-23 06:48:32 +08:00 via Android
(不小心点了回复,接上文) 目前防 dns 污染可以让 dns 服务器运行在非标准端口上或者用 tcp 查询,也可以用 dnscrypt ,这些是客户端防污染措施,域名本身开启 dnssec 不能防止污染
|
4
q397064399 2016-12-23 07:49:05 +08:00
用 tcp 端口 加密转发到国外服务器上面,然后解析结果 加密传回来,在我大局域网内 应该各省不会有
我大 GFW 的存在了 |
5
zsj950618 2016-12-23 08:11:36 +08:00 via Android 1
dnssec 可以保证要么用户得到正确的记录,要么直接查询失败。当然要在用户所用的递归 dns 上开启强制 dnssec
|
7
ZE3kr 2016-12-23 23:05:22 +08:00 via iPhone
没用的,开 dnssec 前是:被污染。开 dnssec 后有两种情况,一是被污染;二,如果 DNS 服务器支持,那就是无法访问,返回的 IP 地址作为无效。总之,不能防污染,但能验证是否污染。
DNSSEC 还不如来 HTTPS 同时加上 HSTS Preload ,这样就算 DNS 被污染了,运营商也不给你做缓存和篡改了,被污染还能保持访问,而且安全性兼顾。 @mewsf tcp 查询没用的,我试过在国内查.一些.网站 |
8
ZE3kr 2016-12-23 23:06:53 +08:00 via iPhone
@z991238 也不需要缓存 DNS 服务器支持,客户端使用自己的一套 DNS 不要运营商的缓存,就能支持 DNSSEC 。
|
9
a86913179 2017-01-01 14:08:01 +08:00
首先,网站得支持,然后得 NS 服务器支持,然后得递归 DNS 支持,所以没什么卵用,还是老老实实 TCP 查询或者非 53 端口
|
10
daisyfloor 136 天前
|
11
ZE3kr 135 天前
@daisyfloor 不冲突。你这个问题就好比 “我现在都用加密的 VPN 访问网页了,所以 HTTPS 这个东西没什么用了” 一样
|