前言
生活在Mainland China的朋友们大都遭遇过DNS污染以及ISP劫持带来的苦恼。DNS污染或者ISP劫持带来的弊端这里就不再赘述,直接开门见山。(本文默认您已经具备相应计算机网络知识储备。如果不懂,请先学习计算机网络:自顶向下。)
DNS
现在避免DNS污染以及ISP劫持的主要方法有:
非常规端口查询(UDP)
使用TCP协议
使用DOT&DOH等加密DNS方式
今天主要是来介绍一些符合我个人要求的DNS。非常规端口列表我会单独再写一期博客。
为了防范大数据爬虫爬取特征后可能导致相应DNS服务被针对,本篇文章中尽量不出现具体配置信息,只是指路人。国内
阿里云公共DNS
- TCP查询:支持
- DOT&DOH:支持,具体参考官方文档
- ECS:支持
- DNSSEC:不支持
红鱼公共DNS
- TCP查询:不支持
- DOT&DOH:支持,具体参考官方文档
- ECS:不支持
- DNSSEC:支持
GEEKDNS
- TCP查询:不支持
- DOT&DOH:支持,具体参考官方文档
- ECS:支持
- DNSSEC:支持
DNS.SB
- TCP查询:支持
- DOT&DOH:支持,具体参考官方文档
- ECS:不支持
- DNSSEC:支持
国外
Google Public DNS
- TCP查询:支持
- DOT&DOH:支持,具体参考官方文档
- ECS:支持
- DNSSEC:支持
Cloudflare DNS
- TCP查询:支持
- DOT&DOH:支持,具体参考官方文档
- ECS:不支持
- DNSSEC:支持
Quad9 DNS
- TCP查询:支持
- DOT&DOH:支持,具体参考官方文档
- ECS:不支持
- DNSSEC:支持
Adguard DNS
- TCP查询:支持
- DOT&DOH:支持,具体参考官方文档
- ECS:支持
- DNSSEC:支持
CleanBrowsing DNS
- TCP查询:支持
- DOT&DOH:支持,具体参考官方文档
- ECS:支持
- DNSSEC:支持
Comcast DNS
- TCP查询:支持
- DOT&DOH:支持,具体参考官方文档
- ECS:支持
- DNSSEC:支持
后记
DNSSEC其实从原理上已经能够非常完美的解决DNS上的安全问题,但是签名和校验 DNS 数据显然会产生额外的开销,这就需要现有的大量 DNS 解析服务的提供商对已有设备进行大范围修改,这在异构且复杂的现实环境中实施的难度较大,所以总体推进非常缓慢。这也是国内大多数域名并没有遵循DS的规范,公共DNS服务器无法支持DNSSEC的主要原因。
ECS对于国内用户来说可能存在不同运营商解析线路差异,考虑到国内网络环境相对复杂,这项技术在一定程度上来说是利大于弊的。而相对而言,DOT和DOH在很大程度上降低了DNSSEC所需要的硬件成本负担。毕竟DNS最重要的是稳定和防污染防劫持,注重个人隐私防护以防信息泄露或者被窃才是重中之重。