PCDVD數位科技討論區

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   系統組件 (https://www.pcdvd.com.tw/forumdisplay.php?f=19)
-   -   自建公眾 DNS 計畫 (https://www.pcdvd.com.tw/showthread.php?t=1157681)

野口隆史 2019-02-01 09:57 AM

自建公眾 DNS 計畫
 
會有這個,主要是因為自身資安需求
加上 ADGuard DNS 在台灣地區查詢速度太慢
此 DNS 包含了防釣魚詐欺,惡意域名過濾等功能(考慮未來加入反色情)
還具備去匿名社群與廣告追蹤的能力
所有收到的請求會返回上游給 CloudFlare ( 通過 DNS OVER TLS 的方式)

目前因為個人技術問題無法提供 DNS OVER TLS 的連線方式
如果有人懂這方面,願意幫忙的話可以聯絡我

機器目前架設在台灣區的 Google Compute Engine 平台
未來會基於透明度審查原則
提供讓所有人能夠審查 DNS 伺服器是否有記錄使用者查詢日誌(受限於 ADGuard HOME 目前版本無法提供該功能)

DNS1 :104.199.253.96
DNS2 :預計不久的未來提供


目前沒有官方網站跟討論區(考慮日後新增)
只有簡易說明
https://readme.avpclub.gq/


移動設備使用方法

ANDROID:

1. 使用 BLOKADA ,新增自定義主機
https://blokada.org/zh_TW/index.html


iOS:

1. 使用 ADGuard 免費版的自定義 DNS 主機功能
https://itunes.apple.com/us/app/adg...1047223162?mt=8

使用前後的載入測試網站:
https://tools.pingdom.com/

eves 2019-02-01 07:46 PM

跟驢子一樣,DNS中央服務器是過時技術,
只要有實體服務器,就很難避免有心人搞鬼,
實現中間人攻擊中的DNS汙染...

採Magnet形式,任何人可以保存部分或是全部DNS...
如此才是長久之道

anderson1127 2019-02-01 08:47 PM

其實....

我不讚成這種做法, 如果你懂DNS的理論,就會知道我在說什麼!!
DNS的精神就是一個分散式系統, 所以才會長成一個樹狀結構 , 現在要把它搞成集中式
對每個Client都可以進行Recursive Query , 你會知道Loading 有多重,尤其是它成為公開的DNS Server !!

再者, 我最近深受168.95.1.1所放出來的DNS Query 所苦 , 這種事也太詭異 , 我完全無法
瞭解Hinet 為何要如此做!! 也勸樓主不要這樣做 , 理由很簡單 , 樓主不是ISP or Google
人家可以輕易做到,我不認為樓主有能力做到!! 再來,不要小看spammer的能力,它們為了能夠傳送spam出門到你的mail address , 什麼招都使得出來!!

你能夠接受透過168.95.1.1所傳送出來的查詢,是帶著61.220.x.x 的IP嗎 ?? 這是事實....
一整個詭異到極點!! 每天,我的Domain會接到許多的這種查詢封包 , 小烏龜燈號亮個不停
我用tcpdump 去監聽才知道燈號亮不停的理由是DNS UDP封包 , 再另外導向檔案後我發覺
這個檔案裡大部份都是61.220.x.x的IP , 大部份的IP都是來查我的mail server ip
我就很好奇了,為何都是61.220.x.x 的IP ?? 一開始我是認為可能是DDoS攻擊
因此透過設定減少回應數量,大約10個封包只回1個 ....

接著因緣際會,我去測試168.95.1.1這個知名的公開的DNS Server ...
然後去查詢一個特定的domain name , 外面的人根本不可能知道的Hostname
經過詢問之後,我再來查Server的LOG , 果然我錄到了有某個IP來查詢特定的domain name
不看還好,一看差點吐血,居然是61.220.x.x的IP !!! 為了證實是168.95.1.1所為的事
我幾乎都用168.95.1.1去查詢,也都是特定Domain name,結果全部是一樣的,都是帶著
61.220.x.x的ip 來查詢!! 這樣就說得通了 , 就是168.95.1.1在搞鬼的.....

但我實在想不出來,Hinet這樣做的理由是什麼?? 這樣一搞出來,我就已經判定Hinet在進行DNS DDoS ....

所以DNS管理真的是一門有點深的專業技術 , 不熟的人還是別來淌混水吧!!

iorittn 2019-02-01 09:27 PM

可以不要反色情嗎......XD

marks 2019-02-01 09:32 PM

感覺自己搞這個反而更容易害人中毒

冰的啦魔王大人 2019-02-01 10:06 PM

引用:
作者marks
感覺自己搞這個反而更容易害人中毒


人家是做大事業的, 一秒鐘幾十萬上下, 怎麼會害人?
:think:

資訊安全真的是宇宙無敵重要的, 可能手上有幾萬顆比特幣吧.
:)




.. 如果搞不起來, 蘋果IOS/OSX 相對安全, 直接用就好了.
:)

saiz 2019-02-01 10:45 PM

用台灣自己出的DNS啊
https://www.kocpc.com.tw/archives/206558

BlackFox 2019-02-05 09:20 AM

引用:
所有收到的請求會返回上游給 CloudFlare

不懂 那幹嘛不直接用CloudFlare的DNS 1.1.1.1就好了呢?

野口隆史 2019-02-08 01:14 PM

引用:
作者marks
感覺自己搞這個反而更容易害人中毒

為什麼?
不懂為何這樣說?


引用:
作者BlackFox
不懂 那幹嘛不直接用CloudFlare的DNS 1.1.1.1就好了呢?

1.1.1.1 沒有 DNS OVER TLS
也沒有我一樓第一段寫的反惡意域名及社群及廣 告追蹤功能


引用:
作者saiz
用台灣自己出的DNS啊
https://www.kocpc.com.tw/archives/206558

我其實不太信任台灣一些陌生人出來主打隱私以及安全的 DNS 伺服器


引用:
作者anderson1127
其實....

我不讚成這種做法, 如果你懂DNS的理論,就會知道我在說什麼!!
DNS的精神就是一個分散式系統, 所以才會長成一個樹狀結構 , 現在要把它搞成集中式
對每個Client都可以進行Recursive Query , 你會知道Loading 有多重,尤其是它成為公開的DNS Server !!

再者, 我最近深受168.95.1.1所放出來的DNS Query 所苦 , 這種事也太詭異 , 我完全無法
瞭解Hinet 為何要如此做!! 也勸樓主不要這樣做 , 理由很簡單 , 樓主不是ISP or Google
人家可以輕易做到,我不認為樓主有能力做到!! 再來,不要小看spammer的能力,它們為了能夠傳送spam出門到你的mail address , 什麼招都使得出來!!

你能夠接受透過168.95.1.1所傳送出來的查詢,是帶著61.220.x.x 的IP嗎 ?? 這是事實....
一整個詭異到極點!! 每天,我的Domain會接到許多的這種查詢封包 , 小烏龜燈號亮個不停
我用tcpdump 去監聽才知道燈號亮不停的理由...

我幾年前,在網路上找一個叫做 hostsman 的工具
這是一個 windows 上協助更新本機 dns 跟管理過濾訂閱的工具
但是奇怪的事,我當時使用的 google 公眾伺服器
無法查詢得到他的dns 紀錄
就在發現問題的同一時間,我查了其他家的 dns 伺服器
都沒有這個問題,這是我少數遇到 google dns 查詢不到
其他家都查詢得到的少數案例
尤其hostsman 是個本機 DNS 管理工具
這個巧合讓我懷疑這可能是有意的
雖然我想不出任何可能干預的理由
但我從此選擇不再信任 google

yunlai 2019-02-12 01:16 PM

引用:
作者野口隆史
為什麼?
不懂為何這樣說?



1.1.1.1 沒有 DNS OVER TLS
也沒有我一樓第一段寫的反惡意域名及社群及廣 告追蹤功能



我其實不太信任台灣一些陌生人出來主打隱私以及安全的 DNS 伺服器



我幾年前,在網路上找一個叫做 hostsman 的工具
這是一個 windows 上協助更新本機 dns 跟管理過濾訂閱的工具
但是奇怪的事,我當時使用的 google 公眾伺服器
無法查詢得到他的dns 紀錄
就在發現問題的同一時間,我查了其他家的 dns 伺服器
都沒有這個問題,這是我少數遇到 google dns 查詢不到
其他家都查詢得到的少數案例
尤其hostsman 是個本機 DNS 管理工具
這個巧合讓我懷疑這可能是有意的
雖然我想不出任何可能干預的理由
但我從此選擇不再信任 google


cloudflare 其實有 DNS OVER TLS
https://developers.cloudflare.com/1.1.1.1/dns-over-tls/

要防釣魚詐欺,惡意域名過濾的話,我建議自己弄個 pi-hole 比較快


所有的時間均為GMT +8。 現在的時間是07:56 PM.

vBulletin Version 3.0.1
powered_by_vbulletin 2024。