主页 / user-354891

Bart Van Loon's questions

Martin Hope
Bart Van Loon
Asked: 2019-11-30 20:38:04 +0800 CST
  • 5

我一直在努力通过以下设置在我的系统上全面使用 DNSSEC:

  • dnscrypt-proxy在 127.0.0.1 上安装、启动并运行require_dnssec = true
  • systemd-resolved running, with DNSSEC=yesandDNS=127.0.0.1
  • nameserver 127.0.0.1/etc/resolv.conf
  • 通过 NetworkManager 连接到我知道的 WiFi 网络 DHCP 配置将 8.8.8.8 和 8.8.8.4 设置为 DNS 服务器

/run/systemd/resolve/resolv.conf在 127.0.0.1 下列出 8.8.8.8 和 8.8.8.4。

resolvectl status节目

DNSSEC setting: yes
DNSSEC supported: yes
Current DNS Server: 127.0.0.1
DNS Servers: 127.0.0.1

在全局部分,但是

 DNSSEC setting: yes
 DNSSEC supported: yes
 Current DNS Server: 8.8.8.8
 DNS Servers: 8.8.8.8
                           8.8.8.4

在我的界面部分(为什么?)。

tcpdump使用 Web 浏览器、挖掘或其他正常使用时,在 udp:53 上根本没有任何活动。这意味着我的本地 dnscrypt-proxy 正在处理我系统上的所有 DNS 请求。我还假设由于上面提到的配置设置,我会一路走 DNSSEC。

但是,该期刊不时包含以下行:

Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question bolt.v.dropbox.com IN DS: failed-auxiliary
Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question bolt.v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:41 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question bolt.v.dropbox.com IN A: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d.v.dropbox.com IN A: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question v.dropbox.com IN SOA: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d.v.dropbox.com IN A: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d2e801s7grwbqs.cloudfront.net IN SOA: failed-auxiliary
Nov 30 09:10:43 tuxifaif systemd-resolved[179937]: DNSSEC validation failed for question d2e801s7grwbqs.cloudfront.net IN A: failed-auxiliary
  • resolvectl query v.dropbox.com导致相同的 DNSSEC 验证错误
  • dig v.dropbox.com工作得很好
  • dig v.dropbox.com @8.8.8.8也可以正常工作(当然会产生两行输出tcpdump

我还检查了https://dnsleaktest.com,它告诉我很多 172.253.xx 服务器正在接收解析我在网络浏览器中输入的域名的请求。这些 IP 似乎归 Google 所有。

那么这是什么意思?该系统上是否正在进行任何(非 DNSSEC)查询?

任何见解表示赞赏!

dns resolv.conf