从测试来看,+tls 通过 tls 查询响应时间基本都需要 500ms 以上,
比不带 tls 查询方式多 400ms,
tls 获取的 IP 地址比不带 tls 的 ip 延迟也高,说明+tls dns 服务器和不带 tls 的服务器出口不一样。
[root@xxxxx:10:19 AM ~] # dig +tls @1.1.1.1 google.com
; <<>> DiG 9.18.24 <<>> +tls @1.1.1.1 google.com ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 5593 ;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ; PAD: (329 bytes) ;; QUESTION SECTION: ;google.com. IN A
;; ANSWER SECTION: google.com. 186 IN A 64.233.170.138 google.com. 186 IN A 64.233.170.139 google.com. 186 IN A 64.233.170.101 google.com. 186 IN A 64.233.170.113 google.com. 186 IN A 64.233.170.100 google.com. 186 IN A 64.233.170.102
;; Query time: 520 msec ;; SERVER: 1.1.1.1#853(1.1.1.1) (TLS) ;; WHEN: Sat Jun 15 10:19:55 CST 2024 ;; MSG SIZE rcvd: 468
1
povsister 153 天前 via iPhone 2
想吐槽但又不知道怎么说,算了,你说得对
|
2
mohumohu 153 天前
有没有可能 udp53 是可以轻松劫持的。
|
3
basncy 153 天前
用 8.8.8.8 不香吗, 延时才 3ms.
https://ibb.co/gVFvFNX |
4
gentrydeng 153 天前 via Android
有没有一种可能,TLS 是一种安全协议,使用了加密算法,而加解密需要耗费时间。
|
5
wolonggl OP @gentrydeng
阿里云和腾讯云的 dns , 他们的 udp 和 tls 方式,延迟差异基本可以忽略不记, 我怀疑 1.1.1.1/8.8.8.8 tls 服务都回溯到美国节点了。而不是 anycast 本地节点 |
6
gentrydeng 153 天前
dig -4 @dns.alidns.com whoami.ds.akahelp.net TXT
; <<>> DiG 9.18.24-1-Debian <<>> -4 @dns.alidns.com whoami.ds.akahelp.net TXT ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22870 ;; flags: qr rd ra; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ;; QUESTION SECTION: ;whoami.ds.akahelp.net. IN TXT ;; ANSWER SECTION: whoami.ds.akahelp.net. 30 IN TXT "ns" "47.106.96.109" ;; Query time: 16 msec ;; SERVER: 223.5.5.5#53(dns.alidns.com) (UDP) ;; WHEN: Sat Jun 15 23:20:56 CST 2024 ;; MSG SIZE rcvd: 137 dig -4 @dns.alidns.com +tls whoami.ds.akahelp.net TXT ; <<>> DiG 9.18.24-1-Debian <<>> -4 @dns.alidns.com +tls whoami.ds.akahelp.net TXT ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 35148 ;; flags: qr rd; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1 ;; WARNING: recursion requested but not available ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 1232 ; PAD: (77 bytes) ;; QUESTION SECTION: ;whoami.ds.akahelp.net. IN TXT ;; ANSWER SECTION: whoami.ds.akahelp.net. 16 IN TXT "ns" "47.106.96.189" ;; Query time: 60 msec ;; SERVER: 223.6.6.6#853(dns.alidns.com) (TLS) ;; WHEN: Sat Jun 15 23:20:57 CST 2024 ;; MSG SIZE rcvd: 281 一个 16 ms ,一个 60 ms ,我不知道你是如何得出“基本可以忽略不记”的结论。 “回溯到美国节点”跟“Anycast”不冲突 |
7
wolonggl OP 通过 tls 长连接方式减少首次建立 tls 链接的时间,建立链接后,后续查询响应时间基本和 udp 方式差异不大;比如 mosdns/smartdns 都支持
|
8
gentrydeng 153 天前
@wolonggl #7 又要拿 SmartDNS 、mosdns 来解释,又要拿 DiG 来测试,你能不能不要自相矛盾?
|