@mashiro 光靠服务端优化是难以全面清除DNS污染的,🧱内所有的递归服务器的DNS缓存都是被🧱污染的。如果你查看全球所有的DNS服务器部署DNSSec的情况,🧱内的DNSSec普及率不足3%。懂的都懂。 所以最终要么改变全球互联网DNS服务器底层技术原理架构(比如重新启用Hosts文件配合P2P式的DNS),要么启用加密(比如DNSCrypt、DNS over TLS、DNS over Https),不然面对🧱的DNS污染很被动。 幸运的是DNS over TLS和DNS over Https正在普及。虽然这两种技术都被🧱盯上了并进行TLS SNI封锁或者端口封锁,但仍有不少幸存的加密DNS服务器。
@mashiro 光靠服务端优化是难以全面清除DNS污染的,🧱内所有的递归服务器的DNS缓存都是被🧱污染的。如果你查看全球所有的DNS服务器部署DNSSec的情况,🧱内的DNSSec普及率不足3%。懂的都懂。
所以最终要么改变全球互联网DNS服务器底层技术原理架构(比如重新启用Hosts文件配合P2P式的DNS),要么启用加密(比如DNSCrypt、DNS over TLS、DNS over Https),不然面对🧱的DNS污染很被动。
幸运的是DNS over TLS和DNS over Https正在普及。虽然这两种技术都被🧱盯上了并进行TLS SNI封锁或者端口封锁,但仍有不少幸存的加密DNS服务器。