当指定 DNS 服务器时(在我的情况下是在 OS X 的网络偏好设置中),它可以被欺骗吗(例如由具有政府权力的组织)?
我之所以问这个问题,是因为 DNS 中毒是一个重要问题,可以找到大量相关信息,但欺骗又如何呢?DNS 服务器本身?
答案1
当然。只要欺骗者能够访问 DNS 请求所经过的网络硬件,他们就可以将您的 DNS 查询目标更改为另一个可疑的服务器。
除了使用加密 VPN 连接到安全的地方外,你对此无能为力。即使运行你自己的 DNS 服务器也会导致请求被重定向。
dnssec 提供了一种检测 DNS 请求操纵的方法,但是没有办法阻止它。
答案2
从安全角度来看,答案是肯定的。这就是我们拥有 DNS-SEC 和 TSIG 等产品的原因。
从实际角度来看,假设这样做是完全可行的。如果不在您和您自己的(可能是)递归 DNS 服务器之间,那么在您的网络服务提供商处或更靠近您需要查询的权威服务器。