“科学上机”系列之 DNS 篇

教程
自由软件与信息安全

#21

我是直接在将路由器刷成开源的OpenWRT,然后在上面部署dnsmasq + unbound来解决DNS污染的。
以dnsmasq为主,向内网提供DHCP与DNS解析服务。部分被污染的域名,则在dnsmasq配置文件中指向unbound来解析,unbound可以使用DNS over TLS来避免功夫网的污染。

不过,随着功夫网大规模部署SNI阻断,未来就算解决了DNS污染,都可能无法访问网站,还是搭个ss/ssr翻墙比较好。


#22

“可惜”,SNI 阻断这一招面世得太晚,只要网站部署了 TLS 1.3 和加密 SNI,这招就没用了。

楼上刚反对过反科学的“翻墙主义”您就又来了。


#23

这个只是草案,并不是强制标准,目前似乎只有一家公司搞了个实验品?


#24

真没想到,本站居然这么多IT牛人,可能我说得比较武断吧,确实,完全依赖单一方式翻墙是不好的。


#25

本站可不只是反对你所谓的单一方式,而是根本反对“翻墙”这种反科学的提法,请不要再害人害己了。


#26

当然笔者曾见过某些特别恶劣的公共无线局域网热点,其中不指向 DHCP 提供的 DNS 的所有查询都会被屏蔽,遇到这种流氓热点你唯一能做的就是躲着走了。

这个其实在一些学校的校园网就有。我记得我当时的解决方案是走443(TCP)端口提供的DNS服务。当然前提是DNS服务器要支持这项功能。

另外,目前我了解到DNS over TLS已经加入RFC标准里面了,虽然是2016年才提出的,但是已经开始有部分公开DNS提供商部署了DNS over TLS。不知道这会不会成为日后防止DNS污染的一个选项呢?