阿里云公共 DNS 到底支不支持 DNSSEC？

国内的 DNS 就没有必要开 DNSSEC 或者用 DoT/DoH 三大运营商没有这么无聊去劫持你国内网站，国外网站被劫持在国内公共 DNS 几乎是必然，因为要“符合法律法规”，弄几个纯净 DNS 自己用就行了，我 53 都直接放外网，没有允许 TCP 减少被扫的几率。国内 53 UDP 是没有问题的，所有过墙的 DNS UDP 都会被劫持，不信你试试 dig -p8964 @8.9.6.4 www.google.com
国内无污染“公共”DNS 目前只发现 101.6.6.6:5353 对外开放。且用且珍惜。

根据下面这篇文章，国内大多数 DNS 不支持 DNSSEC 。
https://free.eol.cn/edu_net/edudown/cernet2020/IPv6/zhj.pdf

101.6.6.6 那个是 tsing 的一个协会，而且有可能随时关闭校外访问

@strp 101.6.6.6 实际上也是通过一个台湾的机器获得的解析结果。另外，目前的政策已经不允许校园内 DNS 服务器对外开放，你这样说出来会加速审查，使得 5353 端口也无法使用。

三大运营商以前很多网站没上 HTTPS 会劫持，现在不知道

@strp #1
@erfesq #2
https://github.com/tuna/issues/issues/550 不是已经关闭校外访问了？

@psyer ping.pe 测试端口还通。

@strp 除了 53 端口，8964 和其他端口的 UDP DNS 请求应该没有审查。
dig -p8964 @8.9.6.4 www.google.com
或者 dig -p8964 @8.9.6.4 v2ex.com
能收到污染吗？

阿里云 dns 支不支持 dnssec 不知道，我只知道 dnssec 在国内还没普及的时候，在阿里云注册的域名不支持设置 dnssec ，我投诉到掌管域名的组织后阿里云就人工帮我设置了 dnssec ，想起来就好笑

@psyer 还在用，好像还可以用，全国除了这个也就原来 V2EX 有个老哥发的那个香港的好用了

@erfesq #9 请问香港哪个呢？话说 tsinghua 那个在 DNS 里就写 IP:Port 这种格式吗？开了 clash 会不会被覆盖？

@psyer 210.5.56.145 210.5.56.146 这两个，tsinghua 那个 dns 是校内一个协会搞得，应该是国内唯一没污染的 dns 了

210.5.56.145 210.5.56.146 这两个搜了一下，这不是电信的吗？

@erfesq #11 我用 210.5.56.145 210.5.56.146 这俩 DNS ，nslookup 被污染的域名，还是给我返回错误的 IP ，我哪里配置出错了吗？我就把这俩 DNS 添加到本地网络设置了。

@psyer 是的，53 已经关闭了外来流量，5353 还没有。