怎么屏蔽一个网段防止 dns 投毒

用 iptables 可以解决

iptables 解析 dns 协议丢掉这些包么?

其实我就想知道什么是 Chinadns ？直译是中国 dns?百度了很久都没有找到答案

直接 TCP 方式请求上级 DNS 就好了

chinadns 是个 dns 防投毒的工具

tcp 方式是 pdnsd 用解析国外域名, 这块没问题, 国内的如果用 tcp, 一定会出现跨网访问的问题, 比如移动宽带用 tcp 访问 8.8.x.x 解析很多国内域名. 基本都会解析到电信甚至国外服务器去, 这样国内访问会非常慢.

只能用 iptables 顶一顶, 可能不太靠谱, 只是粗暴的匹配的了 ip 的前 4 位然后丢弃,暂时看是没什么问题的, 不知道会不会有什么其他问题.

iptables -t mangle -I PREROUTING -p udp --sport 53 -m string --algo bm --hex-string "|78CA|" --from 60 --to 180 -j DROP

@isbase duckduckgo is a good tool!

额··看成了 CloudXNS

其实如果已经用 dnsmasq 的话 为什么不在配置文件里强制用支持非 53 端口的 dns 来 query 呢?

server=/#/208.67.220.220#5353

@buddha 没有非 53 端口 dns 的资源啊, 你这个挺好啊, 啊哈哈