根据目标域名选择DNS服务器？

RichardGv · 发表于 2011-5-14 20:50:50

Post by darrenlee;2139099
我之前从pdnsd转到了maradns 又转到了unbound
没用bind
为什么用ISP dns?我直接用的ICANN服务器,isp的dns不也是请求它们再返回结果么
关键是cache性能和dnssec验证
还有个好处是可以使用alternative dns service,如opennic,有.geek .null 等域名可以玩儿　：）

嗯，多谢指教。

我选用bind是因为不知道其他DNS服务器软件... 刚刚安装了unbound，经过一些配置后，资源占用明显比bind少(14MB -> 4MB)。maradns的最新版本发布3个月后，仍然没有ebuild...

似乎Google Public DNS对DNSSEC支持不善，或者是我配置不正确，unbound开启auto-trust-anchor-file之后立即就会SERVFAIL。

不过，unbound的配置也不十分尽如人意...

# Blah blah blah...
forward-zone:
name: "."
forward-addr: 8.8.8.8
forward-addr: 8.8.4.4
forward-zone:
name: "cctv.com"
forward-addr: 219.149.135.188
forward-addr: 219.150.32.132
forward-zone:
name: "cntv.cn"
forward-addr: 219.149.135.188
forward-addr: 219.150.32.132
forward-zone:
name: "tudou.com"
forward-addr: 219.149.135.188
forward-addr: 219.150.32.132
forward-zone:
name: "tudouui.com"
forward-addr: 219.149.135.188
forward-addr: 219.150.32.132
forward-zone:
name: "tdimg.com"
forward-addr: 219.149.135.188
forward-addr: 219.150.32.132

复制代码

darrenlee · 发表于 2011-5-14 23:34:37

/** the forward zone definitions, linked list */
struct config_stub* forwards;
struct config_stub {
/** next in list */
struct config_stub* next;
/** domain name (in text) of the stub apex domain */
char* name;
/** list of stub nameserver hosts (domain name) */
struct config_strlist* hosts;
/** list of stub nameserver addresses (IP address) */
struct config_strlist* addrs;
/** if stub-prime is set */
int isprime;
};
/**
* List of strings for config options
*/
struct config_strlist {
/** next item in list */
struct config_strlist* next;
/** config option string */
char* str;
};

复制代码

看这数据结构,也只能这么写配置了.........:yun:

@RichardGv, 我不太明白为什么你一定要用非 ICANN的root server.
不管用unbound还是maradns,我使用ICANN的root server 访问 cctv.com都是直接进入的中文版.
我推测

不知道是否正确,请指正)
国内的某些网站会根据请求authoritative server的ip是哪个国家的来返回服务器ip,如果使用opendns或google dns,因由在国外的服务器向国内网站的authoritative server发起查询,国内网站的authoritative server就返回英文版ip,如果使用本地dns软件,则是由(国内)本地直接向国内网站的authoritative server发起查询,返回的就是中文版ip

yourfriend · 发表于 2011-5-14 23:41:22

我一用8888解释DNS就非常慢，被GFW了。

darrenlee · 发表于 2011-5-14 23:49:46

似乎Google Public DNS对DNSSEC支持不善，或者是我配置不正确，unbound开启auto-trust-anchor-file之后立即就会SERVFAIL

你是不是安装的包?net-dns/dnssec-root
如果是的话,需要更改 /etc/dnssec的owner为unbound

darrenlee · 发表于 2011-5-15 09:45:16

大清早的dig了一下,
opendns/google dns : tudou.com 返回221.12.89.120
山西电信/ICANN root server : tudou.com 返回114.80.121.166
而cctv.com 这几个name server都是返回同一个ip202.108.8.82
========================================
另,dnssec确实解决了目前dns劫持与污染的问题
查询144.223.234.234
使用山西电信dns: 有应答
使用maradns(ICANN root server):有应答.同山西电信
使用unbound(ICANN root server + dnssec):无应答

才想起来,当初转到unbound的原因就是某GXX技术评论里推荐unbound

RichardGv · 发表于 2011-5-15 21:51:46

Post by darrenlee;2139156

@RichardGv, 我不太明白为什么你一定要用非 ICANN的root server.
不管用unbound还是maradns,我使用ICANN的root server 访问 cctv.com都是直接进入的中文版.
我推测不知道是否正确,请指正)
国内的某些网站会根据请求authoritative server的ip是哪个国家的来返回服务器ip,如果使用opendns或google dns,因由在国外的服务器向国内网站的authoritative server发起查询,国内网站的authoritative server就返回英文版ip,如果使用本地dns软件,则是由(国内)本地直接向国内网站的authoritative server发起查询,返回的就是中文版ip

嗯，多谢了。我重新测试了一下，发现昨天DNSSEC错误的原因是我针对"."的那个forward-zone，将其comment out之后就好了。

我的/etc/dnssec/root-anchors.txt没有改owner/group，除了syslog中如下的error之外，似乎没有什么副作用：

error: Could not open autotrust file for writing, /etc/dnssec/root-anchors.txt: Permission denied

复制代码

recursive query的机理与您所说相同。缺陷是对每个query要发送多个UDP包，每个DNS query现在要花1.5秒左右...

还有一点我没有提到：我的openvpn（+chnroutes）是设在runlevel default中的（为了找到直接与美帝接轨的感觉...），所以直接query authoritative nameservers的结果可能会是个美国的IP（主要取决于authoritative nameservers的位置），这就是我执意要将DNS请求forward到ISP的DNS服务器的原因。

darrenlee · 发表于 2011-5-17 09:54:42

@RichardGv, I see.Thanks for the clarification.

都在体验"网络移民"的感觉~

		自动登录	找回密码
密码			注册