V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chsuhaha
V2EX  ›  宽带症候群

阿里云公共 DNS 到底支不支持 DNSSEC?

  •  
  •   chsuhaha · 2023-03-30 16:24:13 +08:00 via Android · 3270 次点击
    这是一个创建于 603 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我的 DNS resolver 打开 DNSSEC ,结果过几天就解析不了了,解析不了的时候关掉 DNSSEC 就能继续解析了,所以好奇阿里云 DNS 223.5.5.5 到底支不支持 DNSSEC ? 我在官网也没有看到相关介绍。

    14 条回复    2023-04-01 03:12:23 +08:00
    strp
        1
    strp  
       2023-03-30 17:38:02 +08:00 via iPhone
    国内的 DNS 就没有必要开 DNSSEC 或者用 DoT/DoH 三大运营商没有这么无聊去劫持你国内网站,国外网站被劫持在国内公共 DNS 几乎是必然,因为要“符合法律法规”,弄几个纯净 DNS 自己用就行了,我 53 都直接放外网,没有允许 TCP 减少被扫的几率。国内 53 UDP 是没有问题的,所有过墙的 DNS UDP 都会被劫持,不信你试试 dig -p8964 @8.9.6.4 www.google.com
    国内无污染“公共”DNS 目前只发现 101.6.6.6:5353 对外开放。且用且珍惜。

    根据下面这篇文章,国内大多数 DNS 不支持 DNSSEC 。
    https://free.eol.cn/edu_net/edudown/cernet2020/IPv6/zhj.pdf
    erfesq
        2
    erfesq  
       2023-03-30 20:12:08 +08:00 via Android
    101.6.6.6 那个是 tsing 的一个协会,而且有可能随时关闭校外访问
    Xymmh
        3
    Xymmh  
       2023-03-30 20:28:00 +08:00 via Android
    @strp 101.6.6.6 实际上也是通过一个台湾的机器获得的解析结果。另外,目前的政策已经不允许校园内 DNS 服务器对外开放,你这样说出来会加速审查,使得 5353 端口也无法使用。
    4363fsdtrt
        4
    4363fsdtrt  
       2023-03-30 20:28:27 +08:00
    三大运营商以前很多网站没上 HTTPS 会劫持,现在不知道
    psyer
        5
    psyer  
       2023-03-30 23:27:19 +08:00
    @strp #1
    @erfesq #2
    https://github.com/tuna/issues/issues/550 不是已经关闭校外访问了?
    bosonx
        6
    bosonx  
       2023-03-31 03:39:27 +08:00 via iPhone
    @psyer ping.pe 测试端口还通。
    AlphaTauriHonda
        7
    AlphaTauriHonda  
       2023-03-31 09:45:26 +08:00 via iPhone
    @strp 除了 53 端口,8964 和其他端口的 UDP DNS 请求应该没有审查。
    dig -p8964 @8.9.6.4 www.google.com
    或者 dig -p8964 @8.9.6.4 v2ex.com
    能收到污染吗?
    pacificfish
        8
    pacificfish  
       2023-03-31 15:59:26 +08:00 via iPhone
    阿里云 dns 支不支持 dnssec 不知道,我只知道 dnssec 在国内还没普及的时候,在阿里云注册的域名不支持设置 dnssec ,我投诉到掌管域名的组织后阿里云就人工帮我设置了 dnssec ,想起来就好笑
    erfesq
        9
    erfesq  
       2023-03-31 22:34:05 +08:00
    @psyer 还在用,好像还可以用,全国除了这个也就原来 V2EX 有个老哥发的那个香港的好用了
    psyer
        10
    psyer  
       2023-03-31 23:01:03 +08:00
    @erfesq #9 请问香港哪个呢?话说 tsinghua 那个在 DNS 里就写 IP:Port 这种格式吗?开了 clash 会不会被覆盖?
    erfesq
        11
    erfesq  
       2023-03-31 23:06:47 +08:00   ❤️ 1
    @psyer 210.5.56.145 210.5.56.146 这两个,tsinghua 那个 dns 是校内一个协会搞得,应该是国内唯一没污染的 dns 了
    psyer
        12
    psyer  
       2023-04-01 00:27:49 +08:00
    210.5.56.145 210.5.56.146 这两个搜了一下,这不是电信的吗?
    psyer
        13
    psyer  
       2023-04-01 00:41:00 +08:00
    @erfesq #11 我用 210.5.56.145 210.5.56.146 这俩 DNS ,nslookup 被污染的域名,还是给我返回错误的 IP ,我哪里配置出错了吗?我就把这俩 DNS 添加到本地网络设置了。
    strp
        14
    strp  
       2023-04-01 03:12:23 +08:00
    @psyer 是的,53 已经关闭了外来流量,5353 还没有。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2830 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 04:01 · PVG 12:01 · LAX 20:01 · JFK 23:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.