如题,实在想不明白,我国绝大多数 DNS 都不支持 DNSSEC ,就是不知道根镜像支持不支持咧。
域名启用 DNSSEC 能否避免自己被 DNS 污染?有没有什么作用?
域名启用 DNSSEC 能否避免自己被 DNS 污染?有没有什么作用?
This topic created in 3470 days ago, the information mentioned may be changed or developed.
 |
1
Showfom PRO 首先你本地的 DNS 得支持
|
 |
2
mewsf Dec 23, 2016 via Android  2
dnssec 只是确保返回的数据是有效的,但不提供加密等功能,所以不能防止 dns 污染,如果要防污染,可以让 dns
|
|
3
mewsf Dec 23, 2016 via Android
(不小心点了回复,接上文) 目前防 dns 污染可以让 dns 服务器运行在非标准端口上或者用 tcp 查询,也可以用 dnscrypt ,这些是客户端防污染措施,域名本身开启 dnssec 不能防止污染
|
 |
4
q397064399 Dec 23, 2016
用 tcp 端口 加密转发到国外服务器上面,然后解析结果 加密传回来,在我大局域网内 应该各省不会有
我大 GFW 的存在了 |
 |
5
zhsj Dec 23, 2016 via Android 1
dnssec 可以保证要么用户得到正确的记录,要么直接查询失败。当然要在用户所用的递归 dns 上开启强制 dnssec
|
 |
7
ZE3kr Dec 23, 2016 via iPhone
没用的,开 dnssec 前是:被污染。开 dnssec 后有两种情况,一是被污染;二,如果 DNS 服务器支持,那就是无法访问,返回的 IP 地址作为无效。总之,不能防污染,但能验证是否污染。
DNSSEC 还不如来 HTTPS 同时加上 HSTS Preload ,这样就算 DNS 被污染了,运营商也不给你做缓存和篡改了,被污染还能保持访问,而且安全性兼顾。 @mewsf tcp 查询没用的,我试过在国内查.一些.网站 |
 |
9
a86913179 Jan 1, 2017
首先,网站得支持,然后得 NS 服务器支持,然后得递归 DNS 支持,所以没什么卵用,还是老老实实 TCP 查询或者非 53 端口
|
 |
10
daisyfloor Jul 29, 2024
|
|
11
ZE3kr Jul 30, 2024
@daisyfloor 不冲突。你这个问题就好比 “我现在都用加密的 VPN 访问网页了,所以 HTTPS 这个东西没什么用了” 一样
|
Select Language