我发现 223.5.5.5 开始拒绝解析 TXT 记录了

2024-08-01 21:19:01 +08:00
 Tianao

这可能会令使用 223.5.5.5 作为递归上游的收件服务器的 SPF 验证不能如期工作。

可以使用如下命令测试:
macOS: dig -t txt apple.com @223.5.5.5
PowerShell: Resolve-DnsName -type txt apple.com -server 223.5.5.5
Windows CMD: nslookup -qt=txt apple.com 223.5.5.5

作为对比,119.29.29.29 和 114.114.114.114 返回了不完整的少量 TXT 记录(强制 UDP ); 1.1.1.1 使用了 RFC 顺从的 EDNS UDP payload size 字段遵从和 TCP mode 并返回了完整的全部 TXT 记录。

7345 次点击
所在节点    DNS
31 条回复
totoro625
2024-08-01 21:32:16 +08:00
随手测试了一下 only apple.com
其他的 google.com baidu.com x.com fb.com 都正常
gentrydeng
2024-08-01 21:33:29 +08:00
阿里云公共 DNS 电子邮件联系地址: pubdns@alibaba-inc.com
Tianao
2024-08-01 21:41:25 +08:00
@totoro625 cisco.com microsoft.com paloaltonetworks.com juniper.net arubanetworks.com fortinet.com 都不行,看起来是 TXT 记录较多的就不行。
Tianao
2024-08-01 21:43:50 +08:00
@gentrydeng #2 「免费版公共 DNS 不承诺服务可用性保障。」
之前找阿里云反馈过别的问题,非常消极,有点懒得扯了,等我哪天有心情再说吧。
Immortal
2024-08-01 21:53:33 +08:00
借楼问下,如果阿里不好使
现在国内国外还有推荐哪些 DNS 服务器么
Aicnal
2024-08-01 22:01:03 +08:00
@Immortal 考不考虑自建 DNS 缓存服务器呢?我现在 SmartDNS+AdGuard Home ,SmartDNS 做 AD 的上游服务器,SmartDNS 多设置几个 DNS 上游服务器,用的很舒服

我个人感觉如果没有自建 DNS 缓存服务器,其实还是运营商好用(老实了
Immortal
2024-08-01 22:03:30 +08:00
@Aicnal #6
自建我总觉得太折腾了,可能我问题没有表达清楚,其实就是想问还有哪些上游服务器推荐(区别国内外)
我目前是用的 MosDNS 来切分国内外解析
laminux29
2024-08-01 22:58:08 +08:00
PDD 抢了 TB 系的钱,各大运营商的云又降价抢了阿里云的大客户,阿里云的财务撑不住,自然就养不起国家级的公共 DNS 服务了。
FastAce
2024-08-02 00:56:43 +08:00
@Aicnal ad home 不知道啥问题,也有可能是我哪里没配置对,前两天宽带没网,路由器后台一看带宽没跑多少,一看连接数最高 3W ,局域网设备时不时掉线😂,然后一直请求一个 荷兰 ad home 的 IP ,最后 AD HOME doker 下了
xcodeghost
2024-08-02 08:23:16 +08:00
不光阿里公共 DNS 会有这问题,其他例如运营商的 DNS 也会有这个问题。估计是 TXT 记录太长,超过 DNS 配置的什么限制导致的。

这些国外大厂商域名也有不好的地方,部分 TXT 解析记录也为了验证域名所有权的,验证完成可以删掉,但是管理员就是不删,导致每次解析时间都延长。
ShinichiYao
2024-08-02 08:36:58 +08:00
你们难道都不用运营商下发的 DNS 吗?这都是个位数延时的,解析国内足够了,至于国际的域名难道还有人用国内的 DNS 来解析?
pagxir
2024-08-02 08:43:46 +08:00
因为 txt 记录很容易被利用作 UDP 放大攻击,非授权 DNS 服务器拒绝 txt 记录可以理解
Kinnice
2024-08-02 09:04:48 +08:00
@ShinichiYao 解析国内跳反诈,http 站点投毒,劫持空解析.... 总之运营商 dns 只当备用.
everfly
2024-08-02 09:19:57 +08:00
@Kinnice 运营商的 DNS 解析国内域名一般不会有这些问题。你说的是用运营商的 DNS 解析某些国外的域名吧?
ShinichiYao
2024-08-02 09:24:20 +08:00
至少我还没遇到运营商 DNS 给国内域名做手脚的,跳反炸空解析也是解析国外域名造成的,至于 http 投毒塞广告,现在 http 很少了有也是政府网站
retanoj
2024-08-02 09:29:13 +08:00
预感国内某些邮箱系统要故障了
allin1
2024-08-02 09:47:09 +08:00
前几天 123 盘就跳反诈了。这么快忘了。国内域名也逃不过
@everfly
@ShinichiYao
Kinnice
2024-08-02 10:04:49 +08:00
@everfly #14
@ShinichiYao #15 反诈是部署在省/市 pop 上面的,不是备案过就是白名单哦。
YekongTAT
2024-08-02 10:34:37 +08:00
@ShinichiYao 部分省份运营商的 dns 会投毒,例如福建江苏某些地市。
txydhr
2024-08-02 11:41:19 +08:00
txt 已经被 dns 放大攻击滥用了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1061846

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX