请教下有没人知道 go 语言把国外的域名解析成 IP

curl -H 'accept: application/dns-json' 'https://cloudflare-dns.com/dns-query?name=p00q.cn'

你知道的太多了，peng ~~~

@kkeep www1.hi.cn 的证书可是以直接用 acme.sh 申请并添加定时任务更新, zerossl 目前 ip 证书没有开放 acme 所以我才写了工具。

@q1angch0u 有几个 IP 在用 zerossl 的证书，目前均可自动更新

@jinliming2 方便请教一下如何污染 DNS 吗 ？ 真的一点思路都没有

DNS 是一台服务器，无非就是自己维护了一张键值表给网民解析 ip ，污染不等于你都直接怼到人家数据库修改了数据吗 ？还是有别的方式 ？

@tinkerer 大佬方便看一下 25 楼我提的问题吗 ？不干净和污染到底如何造成的 ？或者是我想得太复杂 等于 DNS 本来就是本身控制 运维自己把数据搞脏 ？

@samin DNS 协议起初是明文 UDP 的, 而 UDP 包本身就容易被伪造 (甚至可直接伪造来源 IP)，何况还是明文。
想想当年的运营商 HTTP 劫持加广告的事都出现了就好理解了。

我回忆了一下，我注意到这个问题大概是二十几年前

@tinkerer 大神 有点点悟到了 可是还有个小问题：中间人劫持的话 他怎么做到监听用户呢 ？ 不管 TCP/UDP 都是基于 IP 协议，路由的路径是不一定的，所以如何做到劫持如此大量的用户 ？

BTW：ISP 劫持 HTTP 加入广告就是因为所有人都是通过他进出口，等于可以监听所有他的所属用户群体，很容易去做这件事情

@samin

关于如何劫持如此大量的用户，ISP 只需要在用户路由汇入的骨干网机房部署好就行了，这种事也不是普通个体能干的, HTTP 劫持是通过路由，那 UDP 同理，此路是我开，此树是我栽，只是成本反面更低。HTTP 在 TCP 之上还有一层 Session 要管理， 反倒是 DNS UDP 53 端口一锅端就行了，还是专用明文裸协议。
如果再继续了解，DNSSEC 这种协议扩展是想使 DNS UDP 53 的查询结果可验证，而 DnsCrypt 项目则是对 DNS 协议进行加密包装，这些都是为了让弥补协议本身的可信度缺陷。
我猜国内的 8.8.8.8 UDP 53 端口是 100% 劫持的。
我认为劫持用户的 DNS 反而对用户的访问内容监控得更精准。

P.S. 这些事我只是从技术层面为析过可能的实施方法，并不知道具体细节。

@samin DNS 服务器在国外，没办法去怼人家的数据库，但是你访问国外的 DNS 服务器，肯定是要经过国际出口的，而出口就那么几个。并且这个不是针对个人的，而是针对所有国内网民的（白名单放行的人上人除外）。
技术层面，你向国外 DNS 服务器发送一条查询请求，数据包路由到国际出口的时候被中间人识别（当然，现在不一定是要到国际出口了，省级出口也有中间人），立即给你回一个投毒的伪造的响应数据。
当然，这个是好几年前了，现在有的包直接丢弃的也是有的。
另外，你就算使用国内的 DNS 服务提供商，他们的 DNS 来源是污染过一遍的，这个是真的怼到数据库里的污染了，所以你查到的结果即便是没有经过中间人篡改，也是被投过毒的。

https://github.com/shadowsocks/ChinaDNS

就是干这个的，你可以看看原理