1. DNS 欺骗和缓存污染( 二 ) _域名

CNNIC SDNS：1.2.4.8，210.2.4.8
114 DNS：114.114.114.114，114.114.115.115
百度 DNS：180.76.76.76
（腾讯）DNS：119.29.29.29，182.254.116.116
上海电信：202.96.209.5，202.96.209.133
北京联通：202.106.196.115，202.106.46.151，202.106.0.20
以上公共 DNS 都支持，本地运营商的 DNS 可以使用上述方法查询是否支持。
域名和域名注册商是否支持
超过 90% 的顶级域名 TLD（top-level ）支持，具体列表可以查询：ICANN TLD。
对于添加资源记录，ICANN 要求域名注册服务商必须支持，参看：注册服务商运营补充规范。
对于启用解析功能，支持的服务商似乎并不多或者需要付费支持，这可能是当前部署比较少的原因。
以下是一些知名的域名注册商和服务商对的支持情况：
阿里云（原万网）：解析功能需要付费，使用第三方支持的 DNS 解析，可以在阿里云添加资源记录（免费）。
腾讯云（）：没有发现解析功能，仅仅支持添加资源记录（免费），参看官网。
：升级尊享版 DNS（付费）可以启用，支持免费添加 DS 记录。
AWS Route 53：不支持解析，仅仅支持添加资源记录，参看官网。
微软 Azure DNS：Does Azure DNS? No. Azure DNS doesn’ttheName().
： Cloud DNS 中启用功能需要付费，参看for Cloud DNS-Cloud 。
：免费一键开启功能，当然不是域名注册商，需要在域名注册商处添加 DS 记录（参看这里）。
6. 配置示例

文章插图
本例中，使用DNS，域名注册在阿里云。
在启用
登录，选择你的域名，点击“DNS”图标，下拉可以看到“”，点击“ ”，可以看到提示需要到域名注册商添加 DS 记录：
已经做处理。
在阿里云域名管理添加资源记录
登录阿里云控制台，选择“域名”，则进入“域名列表”，可以看到域名“”，点击操作最后面的“管理”，则进入“基本信息 / ”页面，点击左侧的“设置”，点击“添加DS记录”

*关键标签：即 Key Tag，复制上述 Key Tag 内容粘贴进来*加密算法：即 Algorithm，下拉选择 13*摘要类型：即 Digest Type，选择 2-SHA-256*摘要：即 Digest，复制上述 Digest 内容粘贴进来

验证
使用测试工具输入域名进行测试
测试页面中如每一级都显示出了 DS，且无红色报错框，说明已开启 DS，并已生效。
在上述页面也会显示：!iswith .
7. 查询和验证dig 命令
检查一个有签名的域名的 RRSIG () 。
查看有签名的域名 () 需要通过一个支持的DNS服务器 (8.8.8.8) 。

% dig sysin.org +dnssec @8.8.8.8; <<>> DiG 9.10.6 <<>> sysin.org +dnssec @8.8.8.8;; global options: +cmd;; Got answer:;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 63155;; flags: qr rd ra ad; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1;; OPT PSEUDOSECTION:; EDNS: version: 0, flags: do; udp: 512;; QUESTION SECTION:;sysin.org.INA;; ANSWER SECTION:sysin.org.299INA104.27.163.41sysin.org.299INA172.67.214.128sysin.org.299INA104.27.162.41sysin.org.299INRRSIGA 13 2 300 20200829022403 20200827002403 34505 sysin.org. 93sJ5e/HTDsFWOYbgw+kw4snha1Bvq1SPSjxWbto8DYvRdaLgZtVVH/N k81Gw086yUTJTpXLLOLDfCel0r//gA==;; Query time: 133 msec;; SERVER: 8.8.8.8#53(8.8.8.8);; WHEN: Fri Aug 28 09:24:03 CST 2020;; MSG SIZErcvd: 191

在线检测网站
浏览器扩展
：
：