DNSSEC 可以避免我国 DNS 污染么？

首先你本地的 DNS 得支持

dnssec 只是确保返回的数据是有效的，但不提供加密等功能，所以不能防止 dns 污染，如果要防污染，可以让 dns

（不小心点了回复，接上文） 目前防 dns 污染可以让 dns 服务器运行在非标准端口上或者用 tcp 查询，也可以用 dnscrypt ，这些是客户端防污染措施，域名本身开启 dnssec 不能防止污染

用 tcp 端口 加密转发到国外服务器上面，然后解析结果 加密传回来，在我大局域网内 应该各省不会有
我大 GFW 的存在了

dnssec 可以保证要么用户得到正确的记录，要么直接查询失败。当然要在用户所用的递归 dns 上开启强制 dnssec

@zsj950618 要 DNS 支持。不支持说这个都没用

没用的，开 dnssec 前是：被污染。开 dnssec 后有两种情况，一是被污染；二，如果 DNS 服务器支持，那就是无法访问，返回的 IP 地址作为无效。总之，不能防污染，但能验证是否污染。

DNSSEC 还不如来 HTTPS 同时加上 HSTS Preload ，这样就算 DNS 被污染了，运营商也不给你做缓存和篡改了，被污染还能保持访问，而且安全性兼顾。

@mewsf tcp 查询没用的，我试过在国内查.一些.网站

@z991238 也不需要缓存 DNS 服务器支持，客户端使用自己的一套 DNS 不要运营商的缓存，就能支持 DNSSEC 。

首先，网站得支持，然后得 NS 服务器支持，然后得递归 DNS 支持，所以没什么卵用，还是老老实实 TCP 查询或者非 53 端口