V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Tianao
V2EX  ›  DNS

我发现 223.5.5.5 开始拒绝解析 TXT 记录了

  •  
  •   Tianao · 113 天前 · 5982 次点击
    这是一个创建于 113 天前的主题,其中的信息可能已经有所发展或是发生改变。

    这可能会令使用 223.5.5.5 作为递归上游的收件服务器的 SPF 验证不能如期工作。

    可以使用如下命令测试:
    macOS: dig -t txt apple.com @223.5.5.5
    PowerShell: Resolve-DnsName -type txt apple.com -server 223.5.5.5
    Windows CMD: nslookup -qt=txt apple.com 223.5.5.5

    作为对比,119.29.29.29 和 114.114.114.114 返回了不完整的少量 TXT 记录(强制 UDP ); 1.1.1.1 使用了 RFC 顺从的 EDNS UDP payload size 字段遵从和 TCP mode 并返回了完整的全部 TXT 记录。

    第 1 条附言  ·  113 天前
    TXT 记录较多的域名 100% 复现,比如:
    cisco.com
    microsoft.com
    paloaltonetworks.com
    juniper.net
    hp.com
    hpe.com
    dell.com
    fortinet.com

    看起来是对 TC flag (Truncated Response) / TCP 的处理有问题。
    31 条回复    2024-08-05 20:27:54 +08:00
    totoro625
        1
    totoro625  
       113 天前
    随手测试了一下 only apple.com
    其他的 google.com baidu.com x.com fb.com 都正常
    gentrydeng
        2
    gentrydeng  
       113 天前
    阿里云公共 DNS 电子邮件联系地址: pubdns@alibaba-inc.com
    Tianao
        3
    Tianao  
    OP
       113 天前
    @totoro625 cisco.com microsoft.com paloaltonetworks.com juniper.net arubanetworks.com fortinet.com 都不行,看起来是 TXT 记录较多的就不行。
    Tianao
        4
    Tianao  
    OP
       113 天前
    @gentrydeng #2 「免费版公共 DNS 不承诺服务可用性保障。」
    之前找阿里云反馈过别的问题,非常消极,有点懒得扯了,等我哪天有心情再说吧。
    Immortal
        5
    Immortal  
       113 天前
    借楼问下,如果阿里不好使
    现在国内国外还有推荐哪些 DNS 服务器么
    Aicnal
        6
    Aicnal  
       113 天前
    @Immortal 考不考虑自建 DNS 缓存服务器呢?我现在 SmartDNS+AdGuard Home ,SmartDNS 做 AD 的上游服务器,SmartDNS 多设置几个 DNS 上游服务器,用的很舒服

    我个人感觉如果没有自建 DNS 缓存服务器,其实还是运营商好用(老实了
    Immortal
        7
    Immortal  
       113 天前
    @Aicnal #6
    自建我总觉得太折腾了,可能我问题没有表达清楚,其实就是想问还有哪些上游服务器推荐(区别国内外)
    我目前是用的 MosDNS 来切分国内外解析
    laminux29
        8
    laminux29  
       113 天前
    PDD 抢了 TB 系的钱,各大运营商的云又降价抢了阿里云的大客户,阿里云的财务撑不住,自然就养不起国家级的公共 DNS 服务了。
    FastAce
        9
    FastAce  
       113 天前 via Android
    @Aicnal ad home 不知道啥问题,也有可能是我哪里没配置对,前两天宽带没网,路由器后台一看带宽没跑多少,一看连接数最高 3W ,局域网设备时不时掉线😂,然后一直请求一个 荷兰 ad home 的 IP ,最后 AD HOME doker 下了
    xcodeghost
        10
    xcodeghost  
       113 天前
    不光阿里公共 DNS 会有这问题,其他例如运营商的 DNS 也会有这个问题。估计是 TXT 记录太长,超过 DNS 配置的什么限制导致的。

    这些国外大厂商域名也有不好的地方,部分 TXT 解析记录也为了验证域名所有权的,验证完成可以删掉,但是管理员就是不删,导致每次解析时间都延长。
    ShinichiYao
        11
    ShinichiYao  
       113 天前
    你们难道都不用运营商下发的 DNS 吗?这都是个位数延时的,解析国内足够了,至于国际的域名难道还有人用国内的 DNS 来解析?
    pagxir
        12
    pagxir  
       113 天前 via Android
    因为 txt 记录很容易被利用作 UDP 放大攻击,非授权 DNS 服务器拒绝 txt 记录可以理解
    Kinnice
        13
    Kinnice  
       113 天前 via Android
    @ShinichiYao 解析国内跳反诈,http 站点投毒,劫持空解析.... 总之运营商 dns 只当备用.
    everfly
        14
    everfly  
       113 天前
    @Kinnice 运营商的 DNS 解析国内域名一般不会有这些问题。你说的是用运营商的 DNS 解析某些国外的域名吧?
    ShinichiYao
        15
    ShinichiYao  
       113 天前
    至少我还没遇到运营商 DNS 给国内域名做手脚的,跳反炸空解析也是解析国外域名造成的,至于 http 投毒塞广告,现在 http 很少了有也是政府网站
    retanoj
        16
    retanoj  
       113 天前 via iPhone
    预感国内某些邮箱系统要故障了
    allin1
        17
    allin1  
       113 天前
    前几天 123 盘就跳反诈了。这么快忘了。国内域名也逃不过
    @everfly
    @ShinichiYao
    Kinnice
        18
    Kinnice  
       113 天前
    @everfly #14
    @ShinichiYao #15 反诈是部署在省/市 pop 上面的,不是备案过就是白名单哦。
    YekongTAT
        19
    YekongTAT  
       113 天前
    @ShinichiYao 部分省份运营商的 dns 会投毒,例如福建江苏某些地市。
    txydhr
        20
    txydhr  
       113 天前 via iPhone
    txt 已经被 dns 放大攻击滥用了
    mytsing520
        21
    mytsing520  
       113 天前
    阿里云公共 DNS 团队回复:已知问题,近期安排修复。
    allenby
        22
    allenby  
       113 天前 via Android
    @laminux29 #8 说的对
    yulgang
        23
    yulgang  
       113 天前
    我现在在 coreDNS 上配置 8.8.8.8 、 8.8.4.4 、1.1.1.1 、1.0.0.1 、9.9.9.9 、149.112.112.112 这几个 dns 的 DoT 轮着换,感觉还行。没用 DoT 之前遇到过好几次查询的记录和实际不符的情况。
    Miary
        24
    Miary  
       113 天前
    @Aicnal 我也是这个组合,但是偶尔会非常卡,影响体验。
    Aicnal
        25
    Aicnal  
       113 天前
    @Miary 如果求稳定还是得用运营商的 DNS ,不过我目前还没有出现什么问题,建议检查一下是不是 AD 误杀
    gentrydeng
        26
    gentrydeng  
       112 天前
    > 非常抱歉,给您使用带来不便。目前阿里公共 DNS 出于安全等角度考虑,限制了最大的 DNS 回复报文长度,apple.com 域名下 TXT 记录过多,超过了最大长度限制,所以导致其 TXT 类型无法解析。后续我们会考虑针对这种场景进行优化,比如返回一部分应答记录,不过目前还没有明确的上线时间。
    yyysuo
        27
    yyysuo  
       112 天前
    @gentrydeng #26 用 tcp 请求有没有这个限制?
    K8dcnPEZ6V8b8Z6
        28
    K8dcnPEZ6V8b8Z6  
       112 天前
    @yulgang 国内场景吗?这样感觉延迟会很高
    lxcopenwrt
        29
    lxcopenwrt  
       111 天前
    主要是阿里 DNS 用 TCP 或者 DoH 查询都直接返回 SERVFAIL 明显是有问题的,测试了一圈国内的公共 DNS 只有 360 能正常返回 apple.com 的全部 TXT 记录(直接 UDP 返回全部数据未返回 TC flag 指示客户端使用 TCP 重试),里面最奇葩的是百度返回了 TC flag 但他家不支持 TCP 查询就一直卡在那里,国外的基本都正常但包括谷歌在内的很多公共 DNS 也是像 360 这样处理不太符合规范
    yulgang
        30
    yulgang  
       110 天前
    @K8dcnPEZ6V8b8Z6 平时上网感觉不到明显延迟,做 nslookup 的时候会卡几秒,总体感觉可以。
    bclerdx
        31
    bclerdx  
       109 天前 via Android
    TXT 记录是做什么用的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2586 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 10:27 · PVG 18:27 · LAX 02:27 · JFK 05:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.