最近发现,通过 DIG 工具解析域名时可以通过 flags 中是否包含“ad”( Authenticated Data )字样识别。
下面 233.5.5.5 、180.184.1.1 、114.114.114.114 等分别是阿里云、腾讯、百度、字节跳动的 DNS 检验结果。
国内竟然都不支持 DNSSEC ,难不成是为了方便劫持?
(base) ➜ ~ dig +dnssec cf.com @180.184.1.1 |grep QUE|grep flags
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
(base) ➜ ~ dig +dnssec cf.com @119.29.29.29 |grep QUE|grep flags
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
(base) ➜ ~ dig +dnssec cloudflare.com @180.76.76.76 |grep QUERY |grep flags
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
(base) ➜ ~ dig +dnssec cloudflare.com @114.114.114.114 |grep QUERY |grep flags
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
(base) ➜ ~ dig +dnssec cloudflare.com @114.114.114.114 |grep QUERY |grep flags
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
(base) ➜ ~ dig +dnssec cloudflare.com @8.8.8.8 |grep QUERY |grep flags
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
(base) ➜ ~ dig +dnssec cloudflare.com @1.1.1.1 |grep QUERY |grep flags
;; flags: qr rd ra ad; QUERY: 1, ANSWER: 3, AUTHORITY: 0, ADDITIONAL: 1
 |
1
frankilla 1 天前 via iPhone
dnspod 和阿里云的 dnssec 是收费服务?
|
 |
2
laikicka 1 天前  1
哪国的反诈反的认真? 中国? 🤣
|
 |
3
xuejianxianzun 1 天前 1
是真的认真反诈,还是以反诈之名行监控隐私、倒卖隐私之实?
|
 |
4
hefish 1 天前
对国内的商家已经很失望了,即便+dnssec 也一样失望。。。咳咳。。。
|
 |
5
mooyo 1 天前
你也不想想,能劫持你 DNS 的都是谁?反诈反的是谁?
|
 |
6
Phant0m 1 天前 8
搞得他们真的是在反诈一样
|
 |
7
euph 1 天前 via Android
反诈只是搞反诈带了的额外收益而已
|
 |
8
Lightbright 1 天前 1
国内衙门理解的安全 DNS ,指的是提供 DNS 服务必须要有资质、备案,这才是真正的“安全”
|
 |
9
jaxjax 1 天前
对这方面没有专门研究过。
一个猜想:建墙的一个手段不就是 DNS 污染吗,上 DNSSEC 就完全没有必要了,因为要污染 DNS 的就是它们本身。 |
 |
10
just1 1 天前 1
谁用 dns 搞诈骗?
|
 |
11
zanx817 OP 1
@just1 办法很多, 例如让域名指向恶意网站、广告网站、或者把不想让你看到的网站指向错误地址。 有可能你被卖了还在帮别人数钱。 例如运营商以前就没少干这种事情。
|
 |
12
pingdog 1 天前 via iPhone
popo:我不能控制的就是不安全
|
 |
13
ajyz 22 小时 46 分钟前 5
明显他们要的安全与我们要的或理解的是不同的,甚至是冲突的,他们要的受控的、可监控的,想明白了这些根本性的问题,再看技术面的,就能理解为何有些技术会被限制,而有些却获得大力支持,哪怕是各种折腾
|
 |
15
ff521 19 小时 29 分钟前
不重要,聪明的人都会自己移民
|
 |
16
peasant 18 小时 52 分钟前
不能只关注它的作用是什么,还要了解它的工作原理,就算不劫持 DNS ,就国内这网络环境频繁去境外验证 DNSKEY 就是个大问题,开了这玩意儿只会降低解析效率。
|
 |
17
gloeaerris 18 小时 49 分钟前
DNS sec 能反诈?有点搞笑
|
 |
18
ZeroClover 18 小时 6 分钟前
DNSSEC 现阶段就是废物,加了没有任何用处,还可能在多 DNS 环境出问题
因为覆盖率不够所以没有解析器敢开强制验证,都是允许降级的模式,那恶意解析器只要返回这个域名没有 DNSSEC 就行了 |
 |
19
PrinceofInj 13 小时 53 分钟前
认真么?儿戏好吧,随便一个小警察命令就把银行卡和电话卡停掉了,我都不敢想想这种口子要是被利用了会是什么下场。
|
 |
20
seln 3 小时 59 分钟前
何必这么认真,监控你穿什么颜色的内裤都可以,你还真以为在反诈?老共的行为做技术的还不懂么?
|
Select Language