DNSSEC 可以避免我国 DNS 污染么?

2016-12-23 01:37:44 +08:00
 Devmingwang
如题,实在想不明白,我国绝大多数 DNS 都不支持 DNSSEC ,就是不知道根镜像支持不支持咧。
域名启用 DNSSEC 能否避免自己被 DNS 污染?有没有什么作用?
16661 次点击
所在节点    宽带症候群
11 条回复
Showfom
2016-12-23 04:52:07 +08:00
首先你本地的 DNS 得支持
mewsf
2016-12-23 06:45:07 +08:00
dnssec 只是确保返回的数据是有效的,但不提供加密等功能,所以不能防止 dns 污染,如果要防污染,可以让 dns
mewsf
2016-12-23 06:48:32 +08:00
(不小心点了回复,接上文) 目前防 dns 污染可以让 dns 服务器运行在非标准端口上或者用 tcp 查询,也可以用 dnscrypt ,这些是客户端防污染措施,域名本身开启 dnssec 不能防止污染
q397064399
2016-12-23 07:49:05 +08:00
用 tcp 端口 加密转发到国外服务器上面,然后解析结果 加密传回来,在我大局域网内 应该各省不会有
我大 GFW 的存在了
zsj950618
2016-12-23 08:11:36 +08:00
dnssec 可以保证要么用户得到正确的记录,要么直接查询失败。当然要在用户所用的递归 dns 上开启强制 dnssec
z991238
2016-12-23 08:53:42 +08:00
@zsj950618 要 DNS 支持。不支持说这个都没用
ZE3kr
2016-12-23 23:05:22 +08:00
没用的,开 dnssec 前是:被污染。开 dnssec 后有两种情况,一是被污染;二,如果 DNS 服务器支持,那就是无法访问,返回的 IP 地址作为无效。总之,不能防污染,但能验证是否污染。

DNSSEC 还不如来 HTTPS 同时加上 HSTS Preload ,这样就算 DNS 被污染了,运营商也不给你做缓存和篡改了,被污染还能保持访问,而且安全性兼顾。

@mewsf tcp 查询没用的,我试过在国内查.一些.网站
ZE3kr
2016-12-23 23:06:53 +08:00
@z991238 也不需要缓存 DNS 服务器支持,客户端使用自己的一套 DNS 不要运营商的缓存,就能支持 DNSSEC 。
a86913179
2017-01-01 14:08:01 +08:00
首先,网站得支持,然后得 NS 服务器支持,然后得递归 DNS 支持,所以没什么卵用,还是老老实实 TCP 查询或者非 53 端口
daisyfloor
116 天前
@a86913179
@ZE3kr

快 10 年过去了,回来看这个问题。是不是现在我都用 Doh 查询了,那 DNSSEC 这个东西就没什么用了?

DNSSEC 和 DOH 冲突么?

我刚刚在 CF 上给站点开启 DNSSEC ,目前看了一些文章和回答之后感觉很困惑,似乎没什么用。这种东西怎么不退出历史舞台。。。
ZE3kr
115 天前
@daisyfloor 不冲突。你这个问题就好比 “我现在都用加密的 VPN 访问网页了,所以 HTTPS 这个东西没什么用了” 一样

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/329560

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX