1
deddey 2014-07-04 22:58:21 +08:00
dnssec能够确定返回的请求包是否来自那个真正的服务器,从这点来看,是能够对付dns劫持的。
|
2
deddey 2014-07-04 23:41:15 +08:00 1
我也简单测试了一下,没有开启dnssec是会返回错误地址,开启后能判断返回的地址是错的,蛋疼的dns服务器就说,那个什么错的哦,然后,就没有然后了
|
3
leavic OP @deddey 嗯,我想我大概知道问题了:
我在OpenWRT中设置了Google DNS和OpenDNS,但OpenDNS似乎还没有支持DNSSEC,而OpenDNS的速度稍微快一点,OpenWRT也许就默认用了OpenDNS解析,没有服务器端的支持肯定是完蛋的. 删掉OpenDNS之后似乎可以正常过滤投毒IP了,不过,速度真tm慢啊,不通过VPN的话,8.8.8.8的Ping延时400多毫秒.... 我觉得还是把DNSSEC作为VPN断线后的防御手段来用吧,毕竟这个比用iptables规则要更广谱一些. |
4
leavic OP @deddey 不过话说回来,用iptables过滤投毒IP,还只是丢弃了第一个错误结果,最终还能挺快的找到正确IP.
DNSSEC这直接就把被污染的解析数据彻底丢掉了,结果就像你说的: 然后,就没有然后了..... |
6
leavic OP @deddey 我测试的结果是OpenerDNS并不支持DNSSEC啊:
============= root@OpenWrt:~# dig www.dnssec-validator.cz +dnssec +short @8.8.8.8 217.31.205.55 A 5 3 7200 20140719093534 20140705135505 60537 dnssec-validator.cz. fo8tMjwnYGCt86UllwrDLwG9PIEtAu/nhkchlpjuLqP69TTVEdvc1FQh Pzk2gXl4jaBXS2dK7jAtcI5rhJBKjCDA+7BFzLeLSkDqpo0h5CwI7dmb WZ+VhwwcFI0jrdcOG/BJwa/1NqmPfLjZVeCD//y1lDnrykNllQTxFrbI 3x4= root@OpenWrt:~# dig www.dnssec-validator.cz +dnssec +short @42.120.21.30 217.31.205.55 root@OpenWrt:~# |