标签归档:DNS

为Simple DNSCrypt配置转发规则加速国内域名解析

长期以来一直使用的GeekDNSRubyFish最近一直不稳定,通过GeekDNS的官方群,了解到最近两家又遭到了攻击,短期内无法恢复,不得已又切换回114苟且了几日。从实际使用的体验来说,在国内114DNS最为省心,解析速度快,服务稳定,EDNS-Client-SubnetCDN支持良好。但毕竟是国内的DNS,总会冷不丁的恶心一下,用着实在难受。

从GeekDNS的官方群公告中得知,GeekDNS的启动脚本已经在Github开源。好奇他们之前解析到国内是如何做的,发现在domestic.conf中,针对特定的域名使用了国内的DNS解析:

forward-zone:
  name: "qq.com."
  forward-addr: 101.226.4.6
  forward-addr: 218.30.118.6
  forward-addr: 123.125.81.6

forward-zone:
  name: "iteye.com."
  forward-addr: 101.226.4.6
  forward-addr: 218.30.118.6
  forward-addr: 123.125.81.6

Simple DNSCrypt只是UI,核心实际上是dnscrypt-proxy。而dnscrypt-proxy支持本地CloakingForwarding,所以,在GeekDNS挂掉的时候,可用本地的规则进行“半裸奔”。Forward的规则十分简单,在配置文件中指定规则路径即可: More

DNSSEC原理和分析

以前对于DNS相关的技术仅仅是略懂皮毛,没有进行全面和深入的了解。最近几年由于各方面的原因,主动被动的接触了不少,包括:

  • 家庭组网和改造:尤其是近两年国内IPv6的普及;
  • 公司兼职网管:负责处理公司的网络问题和VPN问题;
  • VPS:也就是本博客VPS的配置;
  • 项目、任务:内网渗透、应急响应等;
  • 越来越糟糕的网络环境。

其中,影响最大的是DoH、DoT、DNSCrypt等安全DNS协议的出现,同时越来越多的厂商开始部署,主流操作系统也开始逐渐支持。这是一个好的开始,至少在保护个人隐私方面有了更多的选择。同时,我也开始在个人电脑、家庭、公司网络(小范围)中部署、测试安全DNS,为了做出更好的选择,在这过程中学习了很多DNS相关的知识,趁着最近因为疫情仍未复工,整理一些以前的笔记。

今天先从DNSSEC说起。作为一项互联网的基础设施,DNS协议十分重要但过于单纯,也正因如此,DNSSEC很早就被提出,是一种通过扩展DNS协议实现认证的机制,其核心原理是使用数字签名机制和信任链来确保DNS的完整性。通过DNSSEC机制,DNS Resolver或者终端用户可以确保DNS查询到的结果是否可信,即是否为权威域名服务器返回,某种层面上增加了DNS的安全性。 More