@zhjits 这事谁干？ CDN 厂商？各个网站？还是用户自己？ 如果不是所有网站都这样做的话，单凭用户自己可以做到么？

@mrzx

基本上是这个思路。

问题主要发生在向各个域的权威 DNS 查询这一步，得到的主机 IP 地址是否准确。[ 实际上，真实的响应并没有变化，只不过路上有错误的响应进行了抢答，由于解析原理是接受第一个返回的响应（ UDP，无验证），所以实际上接受了一个错误的响应内容。]

这种干扰主要针对权威 DNS 设置在国外的网站。那么，对于这种情况，UDP 包走加密通道，就不会有错误的应答进行干扰。

由于国内的网站，权威 DNS 基本上都在国内，因此对其的查询，是直连的，从 DNS 看来，源 IP 来自你的 ISP，所以权威 DNS 如果有设置针对不同来源响应不同 IP 的话，能够给到准确的 IP，有时候，这些 IP 是第三方 CDN 的。

已有的一些方法，向权威 DNS 查询的时候，源 IP 都已经不是本来的（例如各种公共 DNS 作为源向权威 DNS 查询，再例如用 name list 区分一部分域通过 TCP，用另外的主机发起 UDP 查询）。这类方法，对于 CDN 并不能很好适配。

这样说不知是否解释得有条理一些。若还有疑问可以进一步讨论。

@rio 延迟是个问题，所以增加 cache TTL 时间用来尽量减少首次解析的频率。TCP/TLS 并没有禁用，只是不强制使用 TCP 向 ROOT DNS 发起查询。如果强制 TCP，ROOT/TLD DNS 是没有响应的。

@rio 是的，要精简个只用 unbound 的。正在听你的节目…… 看节目下的链接，研究还是比较深入的。

@rio 一堆人就你回复的这个还靠谱，确实是只用 unbound 就可以的。只不过用它充当 reverse+cache，配置文件跟我 po 出来的有不同。起初用 bind，是因为实现 reverse 非常简单，但是 cache ttl 又是个麻烦，所以增加了一个 unbound。

@artandlol 看来你有经验，那请解释 dnscrypt-proxy 在解析拥有国内外地址的网站时候，怎么给你最近的地址？

@yaoguaishou
@mrzx
@echopan
请看本文附言

@zhjits
@artandlol
各种 crypt 和 https，存在的问题就是一点：怎么才能让有 CDN 的网站把距离你最近的节点 IP 给你？

@cye3s 准确地说，权威 DNS 在哪里就找到哪里。如果国外网站把权威 DNS 放到了国内，则不需要走通道。当权威 DNS 在国外而不想走通道，那就需要 NAME LIST。但这种需求很强烈吗？能说说你的运用场景吗？

@huiyifyj 请看 telegraph

@cye3s 国内外分开的。你的方案里始终离不开个 list，gxwlist 不也是 list 么。

@bao3 https://www.v2ex.com/t/329560
建议你看完方法的思路后好好想想

@bao3 这两种方法，都无法 100%得到每个名字最准确的解析。这也是萌生本文办法的根本原因。

@XiaoxiaoPu please refer to https://unix.stackexchange.com/questions/287836/how-to-override-ttl-in-a-caching-only-bind9

@Tink 看上一条回复

@marenight 不错，挺方便的。
http://telegra.ph/To-create-a-personal-anti-spoofing-DNS-server-on-Raspberry-Pi-06-05

@wjm2038
@divint3
已发。

@Charkey 就是干净的，且不需要维护 list 的。

@pluto 是的