DNS

事实证明，编写一段 120 行精巧的 Ruby 语言代码组成的程序就可以做到，这并不是很困难。

以下是关于为什么学习排除 DNS 问题很困难的几点思考。

当我第一次知道 DNS 时，我想它应该不会很复杂。

通过开源项目 AdGuard Home 运行你自己的 DNS 服务器来控制你的互联网隐私。

❶ 谷歌公共 DNS 服务正在推行大小写混杂查询 ❷ 290 款微星主板的安全启动默认被绕过 ❸ USB4 2.0 规格正式发布，USB-C 可达 120Gbps

❶ 20 个企业控制了一半的域名解析 ❷ Mastodon 的安全性并不可靠 ❸ Let’s Encrypt 签发了逾三十亿证书

但是为什么末尾的点是有用且重要的呢？

• Fedora 38 考虑提供面向手机的版本 • 罗马法院要求 Cloudflare 的 DNS 封锁 BT 网站 • 15000 个网站被黑帽 SEO 利用

你可以向巨大而复杂的 DNS 服务器中添加更多的服务器！添加你控制的服务器！

在这篇文章中，我打算不谈 dig 的大部分选项，只谈我实际使用的选项。

更多：• 勒索软件攻击迫使医院将救护车拒之门外 • DNS 服务商被发现可以监听其他客户的动态 DNS 流量的漏洞

在超级信息高速公路上绕行。

在过去的几天中，我编写了一个叫作 dnspeep 的小工具。我会讨论如何去尝试它、能做什么、为什么我要编写它，以及当我在开发时所遇到的问题。

更多：• 德国警方查获了 6000 万美元的比特币，但是没有密码 • Mac 软件包管理工具 Homebrew 3 发布

域名系统解析互联网网站的名称及其底层 IP 地址，并在此过程中增加了效率和安全性。

• Chromium 对根 DNS 服务器流量的影响 • zstd 有望进入 Linux 5.9，支持压缩系统固件

dig 是一个强大而灵活的工具，用于查询域名系统（DNS）服务器。在这篇文章中，我们将深入了解它的工作原理以及它能告诉你什么。

使用 PDNS 为你的项目提供稳定可靠的域名系统（DNS）服务器。

现代计算机用来在互联网种查找资源的域名系统（DNS） 是在 35 年前设计的，没有考虑用户隐私。它会面临安全风险和攻击，例如 DNS 劫持。它还能让 ISP 拦截查询。

• OpenCV 5 的开源协议将从 BSD 变更为 Apache 2 • Rust 语言承诺将支持 Linux 作为该语言开发的优先项目

• Canonical 因在 Ubuntu 每日消息（MOTD）中植入广告而遭到抨击 • Jakarta EE 9 Milestone 1 发布 从 javax.* 过渡到 jakarta.* • iOS 14 与 macOS Big Sur 将支持 DNS 加密通信 • Word 编辑器迎来“在线查重”功能 • Android 12 曝光：谷歌欲全面抛弃对 32 位的支持

• 多个 DNS 解析程序漏洞允许攻击者发动拒绝服务攻击 • GNOME 基金会和 RPI 的专利诉讼案达成和解 • 安全研究人员分析过去几年发生的开源软件供应链攻击 • 微软开源 1983 年的 GW-BASIC

本指南将向你展示如何配置一个主 DNS 系统以及客户端。

DNS-over-HTTPS（DoH）协议目前是谈论的焦点，Firefox 是唯一支持它的浏览器。但是，Firefox 默认不启用此功能，用户必须经历许多步骤并修改多个设置才能启动并运行 DoH。

学习如何安装和配置 Designate，这是一个 OpenStack 的多租户 DNS 即服务（DNSaaS）。

唯一一个可见的 Chaosnet 残留就是 DNS 的 CH 类。这个事实让我着迷。CH 类别是那被遗忘的幽魂 —— 在 TCP/IP 广泛部署中存在的一个替代协议 Chaosnet 的最后栖身之地。

关于 DNS 和根证书你需要了解的内容。

在第四部分中，我将介绍容器如何完成 DNS 查询。你想的没错，也不是那么简单。

在第三部分中，我将介绍 NetworkManager 和 dnsmasq，简要说明它们如何影响 DNS 查询。

在第二部分中，我将介绍 resolv.conf 的更新机制、systemctl restart networking 命令的运行机制 ，以及 dhclient 是如何参与其中。

“Linux 执行一次 DNS 查询”这句话的背后有相当多的工作。

DNS 轮询将多个服务器映射到同一个主机名，并没有为这里展示的魔法做更多的工作。

今天我们将介绍进阶配置文件管理、如何测试你的配置、一些基础的安全知识、DNS 泛域名、快速 DNS 配置，以及其他一些技巧与窍门。

如果你正在调查互联网上任何个人的域名所有权，这意味着即使域名甚至没有指向注册服务商的 IP，如果他们使用相同的电话和邮件地址，我们仍然可以发现其他域名。

大型 DNS 提供商在其服务中构建了多级冗余，出现导致中断的问题时，可以采取措施来减轻其影响。最佳选择之一是把你的区域的权威服务分割到多个服务提供商中。

在 GitHub，我们最近从头改进了 DNS。这包括了我们如何与外部 DNS 提供商交互以及我们如何在内部向我们的主机提供记录。为此，我们必须设计和构建一个新的 DNS 基础设施，它可以随着 GitHub 的增长扩展并跨越多个数据中心。

在这篇文章中我们将学习如何使用微软 DNS 管理器远程管理我们的 Samba AD 域控制器的 DNS 服务器，如何创建 DNS 记录，如何创建反向查找区域以及如何通过组策略管理工具来创建域策略。

通过关于尝试将 DNSSEC 更好地集成到 GNU C 库里的讨论，我们知道，确保 DNS 查询信息安全这件事并不是那么简单。

DNSCrypt 是一个用于对 DNS 客户端和 DNS 解析器之间通信进行加密和验证的协议。它可以阻止 DNS 欺骗或中间人攻击。 DNSCrypt 可用于大多数的操作系统，包括 Linux，Windows，MacOSX ，Android 和 iOS。而在本教程中我使用的是内核为4.1的 archlinux。 Unbound 是用来解析收到的任意 DNS 查询的 DNS 缓存服务器。如果用户请求一个新的查询，unbound 会将其存储到缓存中，并且当用户再次请求相同的请求时，unbound 将采用已经保存的缓存。这将比第一次请求查询更快。 现在我将尝试安装DNSCrypt，以确保 DNS 的通信的安全，并用Unbound加速

PowerDNS是一个运行在许多Linux/Unix衍生版上的DNS服务器，它可以使用不同的后端进行配置，包括BIND类型的区域文件、关系型数据库，或者负载均衡/失效转移算法。它也可以被配置成一台DNS递归器，作为服务器上的一个独立进程运行。 PowerDNS授权服务器的最新版本是3.4.4，但是当前EPEL仓库中可以获得的版本是3.4.3。我推荐安装EPEL仓库中提供的那一个，因为该版本已经在CentOS和Fedora中测试过。那样，你也可以在今后很容易地更新PowerDNS。 本文用于向你演示如何安装并配置以MariaDB作为后端的PowerDNS，以及它的界面友好的 Web 管理工具

BIND（Berkeley internet Name Daemon)也叫做NAMED，是现今互联网上使用最为广泛的DNS 服务器程序。这篇文章将要讲述如何在 chroot 监牢中运行 BIND，这样它就无法访问文件系统中除监牢以外的其它部分。 例如，在这篇文章中，我会将BIND的运行根目录改为 /var/named/chroot/。当然，对于BIND来说，这个目录就是 /（根目录）。 jail（监牢，下同）是一个软件机制，其功能是使得某个程序无法访问规定区域之外的资源，同样也为了增强安全性（LCTT 译注：chroot 监牢，所谓监牢就是指通过chroot机制来更改某个进程所能看到的根目录，即将某进

电信常用DNS： 地区 DNS服务器1 DNS服务器2 安徽 202.102.192.68 202.102.199.68 澳门 202.175.3.8 202.175.3.3 北京 202.96.199.133 202.96.0.133 重庆 61.128.128.68 61.128.192.68 福建 202.101.115.55 218.85.157.99 甘肃 202.100.64.68 61.178.0.93 广东 202.96.128.86 202.96.128.166 广西 202.103.224.68 202.103.225.68 贵州 202.98.192.67 202.98.198.167 海南 202.100.192.68 202.100.199.8 河北 219.150.32.132 222.222.222.222 黑龙江 219.150.32.132 219.146.0.130 河南 219.150.150.150 222.8

我在Linux下使用拨号连接上网，频繁的拨号断线造成DNS的问题。我如何在Linux/Unix发行版下使用shell命令清除DNS缓存？ 在MS-Windows下,你可以使用ipconfig命令来清除dns缓存。然而，Linux和Unix提供了不同的方法来清除缓存。Linux可以运行 nscd 或者 BIND 或者 dnsmasq 作为名称服务缓存守护进程。大型或者工作组服务器可能使用BIND或者dnsmasq作为专用缓存服务器来加速查询。 如何: 清除 nscd dns 缓存 Nscd 会缓存libc发起的名称服务的请求。如果把检索NSS数据看做很慢，那么nscd能够显著加快连续访问同一数据的速度，并能提高整个系统

正如SSL能将HTTP通信变为加密过的HTTPS通信，DNSCrypt, 物如其名， 是一款能加密您电脑与OpenDNS之间的通信的小神器。 DNSCrypt刚问世的时候，官方公布它只是一款Mac才能用的工具，但根据最近一篇由OpenDNS发的文章表明，虽然还没有用户界面，但其实当Mac版DNSCrypt推出的时候源码已经放到了Github上了， Linux的用户也可以安装以及使用哦！ 为神马要使用 DNSCrypt? DNSCrypt可以加密您电脑与OpenDNS服务器的所有通信，加密可以防止中间人攻击，信息窥觑，DNS劫持。更能防止网络供应商对某些网站的封锁。 这是世界上第一款加密DNS通信的

在上篇教程里，我们为一个测试域exmample.tst创建了一个主域名服务器（ns1）。在本篇中，我们会在CentOS中使用bind包为相同的域创建一个辅域名服务器（ns2）。 当创建一个辅DNS服务器的时候，下面的因素需要仔细考虑。 在辅域名服务器中，你不需要手动创建正向和反向区域文件。这些区域文件会定期从主域名服务器上面同步。 当主域名服务器上的任何区域文件被修改的时候，‘serial’参数也应当被更新。只有当主服务器上面区域文件的serial被修改之后，辅DNS服务器才会进行同步。 我们假设辅DNS服务器的IP地址是172.16.1.4。让我们来进行安

任何运作中的域名至少有两台DNS服务器，一台称为主域名服务器（比如叫做ns1），而另一台称为从域名服务器（比如叫做ns2）。这些服务器通常用于故障转移：如果一台宕机，另外一台就激活成为DNS服务器（译注：此处译者有不同意见，事实上两个或更多的DNS服务器是共同工作的，并不是第一台停止服务后，第二台才接替工作。解析器是随机选择一个DNS服务器进行询问，如果超时则会询问下一个，这是多个DNS的故障容错机制）。也可以实现包括负载均衡、防火墙和集群在内的更为复杂的故障转移机制。 一个域的所有DNS条目都会被添加到主域名服务器，

我们在之前的教程中创建的DNS服务器是一个开放DNS解析器。开放解析器不会过滤任何来源请求，并会接受来自所有IP的查询。 不幸的是，开放解析器很容易成为一个攻击目标。比如，攻击者可以对开放DNS服务器发起一个拒绝服务攻击(DoS)或者更糟的分布式拒绝服务攻击(DDoS)。这些也可与IP欺骗结合，将应答包指向受害者被欺骗的IP地址。在另外的场合下称作DNS放大攻击，开放的DNS服务器很容易就会成为攻击的对象。 根据openresolverproject.org，除非有必要，运行一个开放解析器是不明智的。大多数公司要让它们的DNS服务器仅对他们的客户开放。

互联网是个大熔炉。无论是好人还是坏人，都可以和我们一样连接到网络。那些制作病毒感染人们电脑的坏蛋以及寻求保护人们的好人们全都连接到同一网络中。 就像人们所说的那样，互联网是过去所出现的一个最好的东东。 …