默认情况下,终端通常不直接执行域名迭代查询,递归查询任务交给运营商的 DNS 服务器,由于递归过程对客户端透明,攻击者易通过路径劫持或缓存投毒篡改响应结果。为了判断DNS是否被劫持,我使用unbound作为自建DNS服务器,直接向根服务器发起查询。域名系统安全扩展(DNSSEC)可以让我们初步判断DNS是否被修改
电信家宽:
实验验证了 Unbound 作为本地递归服务器可正常工作,所有迭代请求均由本地公网出口 IP 直接发起,解析路径具有完整控制权
某学校校园网:
即便配置 Unbound 直连根域,测试结果显示存在非预期的解析器 IP。这证明网络中存在 DNS 透明代理。同时,由于中间设备可能剥离了 DNSSEC 相关资源记录,导致信任链断裂,DNSSEC 校验被阻断。
