我的 DNS resolver 打开 DNSSEC ,结果过几天就解析不了了,解析不了的时候关掉 DNSSEC 就能继续解析了,所以好奇阿里云 DNS 223.5.5.5 到底支不支持 DNSSEC ? 我在官网也没有看到相关介绍。
1
strp 2023-03-30 17:38:02 +08:00 via iPhone
国内的 DNS 就没有必要开 DNSSEC 或者用 DoT/DoH 三大运营商没有这么无聊去劫持你国内网站,国外网站被劫持在国内公共 DNS 几乎是必然,因为要“符合法律法规”,弄几个纯净 DNS 自己用就行了,我 53 都直接放外网,没有允许 TCP 减少被扫的几率。国内 53 UDP 是没有问题的,所有过墙的 DNS UDP 都会被劫持,不信你试试 dig -p8964 @8.9.6.4 www.google.com
国内无污染“公共”DNS 目前只发现 101.6.6.6:5353 对外开放。且用且珍惜。 根据下面这篇文章,国内大多数 DNS 不支持 DNSSEC 。 https://free.eol.cn/edu_net/edudown/cernet2020/IPv6/zhj.pdf |
2
erfesq 2023-03-30 20:12:08 +08:00 via Android
101.6.6.6 那个是 tsing 的一个协会,而且有可能随时关闭校外访问
|
3
Xymmh 2023-03-30 20:28:00 +08:00 via Android
@strp 101.6.6.6 实际上也是通过一个台湾的机器获得的解析结果。另外,目前的政策已经不允许校园内 DNS 服务器对外开放,你这样说出来会加速审查,使得 5353 端口也无法使用。
|
4
4363fsdtrt 2023-03-30 20:28:27 +08:00
三大运营商以前很多网站没上 HTTPS 会劫持,现在不知道
|
5
psyer 2023-03-30 23:27:19 +08:00
|
7
AlphaTauriHonda 2023-03-31 09:45:26 +08:00 via iPhone
@strp 除了 53 端口,8964 和其他端口的 UDP DNS 请求应该没有审查。
dig -p8964 @8.9.6.4 www.google.com 或者 dig -p8964 @8.9.6.4 v2ex.com 能收到污染吗? |
8
pacificfish 2023-03-31 15:59:26 +08:00 via iPhone
阿里云 dns 支不支持 dnssec 不知道,我只知道 dnssec 在国内还没普及的时候,在阿里云注册的域名不支持设置 dnssec ,我投诉到掌管域名的组织后阿里云就人工帮我设置了 dnssec ,想起来就好笑
|
10
psyer 2023-03-31 23:01:03 +08:00
@erfesq #9 请问香港哪个呢?话说 tsinghua 那个在 DNS 里就写 IP:Port 这种格式吗?开了 clash 会不会被覆盖?
|
11
erfesq 2023-03-31 23:06:47 +08:00 1
@psyer 210.5.56.145 210.5.56.146 这两个,tsinghua 那个 dns 是校内一个协会搞得,应该是国内唯一没污染的 dns 了
|
12
psyer 2023-04-01 00:27:49 +08:00
210.5.56.145 210.5.56.146 这两个搜了一下,这不是电信的吗?
|