OpenDNS 的防污染工具 DNSCrypt

这个和bind配合用效果很不错

不靠谱

Linux版测试可用。但是：
1. 考虑到OpenDNS有劫持google域名的劣迹，可以改用它主页上列出的其他server，比如opennic的日本server；
2. dnscrypt没有本地dns缓存功能，前面还得再跑一个缓存server。

如果你只是要反dns污染，目前unbound用tcp upstream，或者goagent的反污染dns模块也都是可用的，而且都自带缓存，我觉得是更方便的选择。

@generic bind作为缓存server不错，而且支持DNSSEC，不过那玩意强制验证开启后解析速度慢的飞起。。。然后我就把DNSSEC关了。。。

@sdcg1994 我觉得DNSSEC是用在DNS server之间，防止之前GFW污染波及国外的事件。对于终端用户来说意义不大。
DNSSEC能告诉你某条记录被污染了，但不能告诉你正确的结果是什么。

@generic bind里DNSSEC有个设置是只接受安全应答。。但好像没有用。。。不过好在bind可以通过修改源代码强制TCP 53查询，这样到可以避开DNS污染，不过就是速度慢点

目前TCP+非标端口可以解决大部分问题。

unprotected...图标红色反应。

这玩意用了以后，访问国内的CDN会吧爆慢。

@P99LrYZVkZkg +1