3月 112015
 

利用域名解析服务器不验证请求源的弱点,DNS放大攻击在过去几年非常流行。攻击者伪装成攻击目标域名向全世界数以百万计的域名解析服务器发送查询请求,域名服务器返回的数据要远大于请求的数据,导致目标遭受了放大数十倍的DDoS攻击。被利用的域名服务器因此每天会收到大量的恶意请求,它也不断的遭受较小规模的DDoS攻击。防止此类攻击的一种方法是实现DNSSEC,验证DNS请求源的身份。但旧的DNS基础架构很难改变。
现在,提供防御DDoS攻击服务的Cloudflare推出了虚拟DNS服务,为域名解析服务器提供基于云端的DNS查询和缓存代理服务,由CloudFlare验证请求源的身份。

1月 082014
 

前段时间尝试用PostgreSQL 作为BIND9的后端数据存储玩玩,发现真不错,需要的Postgresql数据库表结构简单,查询效率高、及时生效。SOA记录也是一条语句,但发送邮件需要的TXT记录出现了问题,按照SPF格式写入了以下TXT记录:“v=spf1 ip4:60.166.118.xxx include:xuplus.com -all”,结果使用nslookup查询出来的情况竟然是这样的: Continue reading »

6月 242013
 

Google
8.8.8.8
8.8.4.4
备注:推荐,没有DNS劫持,全球Anycast,节点超多

CNNIC
1.2.4.8
210.2.4.8
备注:也采用Anycast技术,目前4个节点;CNNIC之前也推出过210.2.1.1和210.2.2.2,ip也很好记,但不知什么时候静悄悄的就不能访问了。http://www.sdns.cn

114DNS
114.114.114.114
114.114.115.115
备注:南京信风推出,是曾为中国电信、中国联通两个省约 2000 万宽带用户提供备份服务的超大型 DNS 系统。也采用Anycast技术。

OpenDNS
208.67.222.222
208.67.220.220
备注:全球Anycast,无DNS劫持。

以上都是ipv4的DNS server,如果需要ipv6双栈支持的,请点此链接:
支持IPV6的双栈DNS服务器
https://www.icocean.com/blog/?p=1971

6月 212013
 

现如今互联网蓬勃发展,截止2011年12月,全球上网人数达到19亿。IPv4仅能提供约2.5亿个IP地址。ADSL和NAT等分时和子网技术可以有效缓解这个问题,方便了全球用户使用网络。同时,因为不能每个人甚至每个设备都拥有一个IP地址,使得个人对外提供互联网服务难度加大,网络IP地址经常变化,也使得定位用户特征变得困难,难以给用户推送个性化的内容。在此背景下,1990年开始,互联网工程任务小组开始制定互联网的下一代协议,即IPv6,它提供了理论上虽然有限,实际使用中几乎无穷的IP地址。

目前的智能解析技术可以对IP地址进行划分,并展示个性化的内容。比如按照ISP线路、联通、电信;或者地域,比如山东省、广东省等。如前所述,由于NAT和ADSL技术的大规模使用,达到更精确的线路划分实际上比较困难。最精确的划分只到城市级别,已然错误百出,变化频繁,遑论单个IP级别的划分。 Continue reading »

4月 212013
 

注意:启用DNSSec只能验证dns记录是否被篡改,并不能加密你的dns查询传输数据;如果你需要加密dns查询,还是需要用opendns推出的dnscrypt工具。
http://www.opendns.com/technology/dnscrypt/ 和 http://dnscrypt.org/

1. 获得trust anchor
trust anchor和根证书的意思类似。unbound-anchor 可以创建和更新 trust anchor。用下面的命令来下载和立即检查trust anchor的完整性,这个检查是使用 unbound-anchor 内建的 ICANN 证书进行的,如果不确认的话,还应检查它的完整性,包括 unbound-anchor -l 和检验源代码,不过源码包一般都经过校验,可以认为没有问题。

ubuntu系统的root.key一般在/var/lib/unbound/root.key路径
$ sudo -u unbound unbound-anchor -a "/var/lib/unbound/root.key"
如果一切正常,则系统不会给出任何提示。

当然如果root.key的路径指定错误了,就会有提示。比如我一开始在 Continue reading »

5月 042012
 

反解與正解本來是分開的…
你不必要求正反兩解之一致性, 只是, 若查詢的程式若發現不一致(PARANOID),
則取決於該程式如何處理了.

請記著一點: DNS 只負責解釋, 至於解釋出來的結果如何用? 那就不是 DNS 要擔心的.

本文撰寫於 www.chinaunix.com ,撰寫人為: netman/abel
歡迎任意轉載,轉載時請注明出處
除錯別字外(哈~這個我常發生),勿對本文加油添醋

主題:反向解析域是怎么授权的 (http://bbs.chinaunix.net/forum/16/20040812/385903.html)
——————————————————————-
正文開始,文接 netman 那篇
建議您在看前,對 DNS 解析流程及授權有一定的概念,並巳充份了解正解的狀況

1.前言
首先, 我上次問過大家一個問題:
— 在 internet 上是正解查詢多還是反解查詢多?
若你有朋友在 NIC 或 ISP 內管 dns 的話, 應該不難問出答案:
—> 反解多!

那, 你或許會問: why? Continue reading »

10月 152011
 

ubuntu上的dns方案,完美解决IPV6优先,缓存,Local站点指定dns等问题.

可以正常使用本地dns解析国内大站,同时解析youtube, facebook, google时又能优先使用ipv6,当然最后还有解析结果的缓存.

后期如果需要,还可以再配置 DNSSec.

实现的工具是,unbound (http://unbound.net)