关注

@caesar@cmx.im @haisenberg
国内的DNS递归服务器大多数没有开启 DNSSEC validation 这个问题先暂且不说。
就算开启了,也不能抵抗 DNS cache poison , DNSSEC 只是让你知道自己的域名被污染了。最终的结果,从得到一个错误的IP,变成得到 SERVFAIL,被污染的网站照样访问不了,只是让你死个明白罢了。
而且如果开启 DNSSEC validation,像我这个[1] 试图通过分区解析来得到正确解析的项目就会失效。无论你是否分区解析,只要是被GFW poison了的域名,通通会报 SERVFAIL。
你可以自己搭建一个 bind,然后亲自体验一下。

[1]: blog.bgme.me/posts/some-ideas-

Sign in to participate in the conversation
BGME

一个中文长毛象(Mastodon)实例。