11月 272017
 

日前,下一代互联网国家工程中心正式宣布推出IPv6公共DNS:240c::6666。通过免费提供性能优异的公共DNS服务,为广大IPv6互联网用户打造安全、稳定、高速、智能的上网体验,助力我国《推进互联网协议第六版(IPv6)规模部署行动计划》全面落实。同时,工程中心还联合全球IPv6论坛(IPv6 Forum)启动IPv6 公共DNS的全球推广计划,旨在为全球用户提供更优质的上网解析服务。

当前IPv6网络已成为各国推动新的科技产业革命和重塑国家长期竞争力的先导领域,全球各个国家均加快了向IPv6过渡的步伐。与此同时,IPv6用户量也在近两年内实现爆炸式增长,沉寂多年的IPv6发展局面得到显著改观。而IPv6行动计划的推出,无疑将为已蓄势待发的IPv6产业再填强劲助力,全面加快我国下一代互联网整体部署节奏。

作为网络基础设施的重要组成部分,域名系统(DNS)因其“特殊性”,在过去30年间频繁被攻击,顶级域故障、DNS劫持、大规模DNS攻击等事件时有发生,给全球互联网产业带来严重影响。而当前,提升用户体验、保障网络安全的大部分公共DNS均仅面向IPv4,这也是IPv6用户不断诟病的问题之一。为全面助力IPv6的发展, 下一代互联网工程中心依托自主研发的高性能IPv6 DNS系统,面向公众免费提供DNS服务,

首选DNS: 240c::6666
备用DNS: 240c::6644

下一代互联网国家工程中心是我国下一代互联网领域唯一的国家级工程研究中心,多年来致力于IPv6下一代互联网等产业基础关键技术和应用的研究和推动。而本次推出的IPv6公共DNS无疑将为全球IPv6用户提供一个优化上网体验的绝佳选择,其精准快速、安全稳定、DNS64三大特性,将全面保障IPv6网络的高效和稳定。

据介绍,工程中心在北京、广州、兰州、武汉、芝加哥、弗里蒙特、伦敦、法兰克福等全球众多地区部署递归节点。基于IPv6 BGP Anycast方式部署,让用户可以实现就近访问,使得域名在解析到根服务器的访问时延明显缩小,在速度上可以得到重要保障。不仅如此,IPv6公共DNS将通过主动同步com/net域名、缓存热点域名等举措,减少递归过程,以最大程度实现快速应答。 Continue reading »

3月 112015
 

利用域名解析服务器不验证请求源的弱点,DNS放大攻击在过去几年非常流行。攻击者伪装成攻击目标域名向全世界数以百万计的域名解析服务器发送查询请求,域名服务器返回的数据要远大于请求的数据,导致目标遭受了放大数十倍的DDoS攻击。被利用的域名服务器因此每天会收到大量的恶意请求,它也不断的遭受较小规模的DDoS攻击。防止此类攻击的一种方法是实现DNSSEC,验证DNS请求源的身份。但旧的DNS基础架构很难改变。
现在,提供防御DDoS攻击服务的Cloudflare推出了虚拟DNS服务,为域名解析服务器提供基于云端的DNS查询和缓存代理服务,由CloudFlare验证请求源的身份。

1月 082014
 

前段时间尝试用PostgreSQL 作为BIND9的后端数据存储玩玩,发现真不错,需要的Postgresql数据库表结构简单,查询效率高、及时生效。SOA记录也是一条语句,但发送邮件需要的TXT记录出现了问题,按照SPF格式写入了以下TXT记录:“v=spf1 ip4:60.166.118.xxx include:xuplus.com -all”,结果使用nslookup查询出来的情况竟然是这样的: Continue reading »

6月 242013
 

Google
google-public-dns-a.google.com
2001:4860:4860::8888
8.8.8.8
google-public-dns-b.google.com
2001:4860:4860::8844
8.8.4.4
备注:推荐,没有DNS劫持,全球Anycast,节点超多

CNNIC
1.2.4.8
210.2.4.8
备注:也采用Anycast技术,目前4个节点;CNNIC之前也推出过210.2.1.1和210.2.2.2,ip也很好记,但不知什么时候静悄悄的就不能访问了。http://www.sdns.cn

114DNS
114.114.114.114
114.114.115.115
备注:南京信风推出,是曾为中国电信、中国联通两个省约 2000 万宽带用户提供备份服务的超大型 DNS 系统。也采用Anycast技术。

阿里云Aliyun
223.5.5.5
223.6.6.6

OpenDNS
208.67.222.222
208.67.220.220
备注:全球Anycast,无DNS劫持。

下一代互联网国家工程中心
首选DNS: 240c::6666
备用DNS: 240c::6644

Quad9
Secure IP: 9.9.9.9 , Blocklist, DNSSEC, No EDNS Client-Subnet
Unsecure IP: 9.9.9.10 , No blocklist, no DNSSEC, send EDNS Client-Subnet

Secure IPv6: 2620:fe::fe , Blocklist, DNSSEC, No EDNS Client-Subnet
Unsecure IPv6: 2620:fe::10 , No blocklist, no DNSSEC, send EDNS Client-Subnet

以上都是ipv4的DNS server,如果需要ipv6双栈支持的,请点此链接:
支持IPV6的双栈DNS服务器
https://www.icocean.com/blog/?p=1971

6月 212013
 

现如今互联网蓬勃发展,截止2011年12月,全球上网人数达到19亿。IPv4仅能提供约2.5亿个IP地址。ADSL和NAT等分时和子网技术可以有效缓解这个问题,方便了全球用户使用网络。同时,因为不能每个人甚至每个设备都拥有一个IP地址,使得个人对外提供互联网服务难度加大,网络IP地址经常变化,也使得定位用户特征变得困难,难以给用户推送个性化的内容。在此背景下,1990年开始,互联网工程任务小组开始制定互联网的下一代协议,即IPv6,它提供了理论上虽然有限,实际使用中几乎无穷的IP地址。

目前的智能解析技术可以对IP地址进行划分,并展示个性化的内容。比如按照ISP线路、联通、电信;或者地域,比如山东省、广东省等。如前所述,由于NAT和ADSL技术的大规模使用,达到更精确的线路划分实际上比较困难。最精确的划分只到城市级别,已然错误百出,变化频繁,遑论单个IP级别的划分。 Continue reading »

4月 212013
 

注意:启用DNSSec只能验证dns记录是否被篡改,并不能加密你的dns查询传输数据;如果你需要加密dns查询,还是需要用opendns推出的dnscrypt工具。
http://www.opendns.com/technology/dnscrypt/ 和 http://dnscrypt.org/

1. 获得trust anchor
trust anchor和根证书的意思类似。unbound-anchor 可以创建和更新 trust anchor。用下面的命令来下载和立即检查trust anchor的完整性,这个检查是使用 unbound-anchor 内建的 ICANN 证书进行的,如果不确认的话,还应检查它的完整性,包括 unbound-anchor -l 和检验源代码,不过源码包一般都经过校验,可以认为没有问题。

ubuntu系统的root.key一般在/var/lib/unbound/root.key路径
$ sudo -u unbound unbound-anchor -a "/var/lib/unbound/root.key"
如果一切正常,则系统不会给出任何提示。

当然如果root.key的路径指定错误了,就会有提示。比如我一开始在 Continue reading »

5月 042012
 

反解與正解本來是分開的…
你不必要求正反兩解之一致性, 只是, 若查詢的程式若發現不一致(PARANOID),
則取決於該程式如何處理了.

請記著一點: DNS 只負責解釋, 至於解釋出來的結果如何用? 那就不是 DNS 要擔心的.

本文撰寫於 www.chinaunix.com ,撰寫人為: netman/abel
歡迎任意轉載,轉載時請注明出處
除錯別字外(哈~這個我常發生),勿對本文加油添醋

主題:反向解析域是怎么授权的 (http://bbs.chinaunix.net/forum/16/20040812/385903.html)
——————————————————————-
正文開始,文接 netman 那篇
建議您在看前,對 DNS 解析流程及授權有一定的概念,並巳充份了解正解的狀況

1.前言
首先, 我上次問過大家一個問題:
— 在 internet 上是正解查詢多還是反解查詢多?
若你有朋友在 NIC 或 ISP 內管 dns 的話, 應該不難問出答案:
—> 反解多!

那, 你或許會問: why? Continue reading »