resolver - 爱搜

dan kaminsky 最有名的“成果”应该是在 2008

发表于 2025-09-15 resolver nonce poisoning

Dan Kaminsky 最有名的“成果”应该是在 2008 年发现当时大多数的 DNS resolver 软件实做有问题，可以被 DNS cache poisoning 攻击，当年我有写下来提到，但写的很短：“DNS 服务器安全性更新”。攻击手法是先发一个 DNS query 到 DNS resolver，然后马上再送出一个伪造的 DNS response packet 给 DNS resolver 收，运气好的话这个伪造的结果就会被 cache 起来。记得当年的 168.95.1.1 与 168.95.192.1 没有太直接受到影响 (相较于其他的 DNS resolver)，是因为这两个 DNS resolver 后面有 server cluster 会打散流量，所以未必能猜对去查询时用的 DNS server 所使用的 IP address，有点类似下面提到的缓解方案 (只是没那么有效)

经过查询后发现是 ocsp 的问题

发表于 2025-07-23 resolver ocsp underscores

经过查询后发现是 OCSP 的问题。用简单的方式来理解，OCSP 是一种用来确认 SSL 凭证真实性的机制。然而因为造成隐私权问题，而且实际上不一定能确保传输的安全性，因此在 Chrome 当中并不会预设启用这个功能

amazon web services 文档中描述的 ama

发表于 2025-09-15 resolver 未记录 vpc

Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 Amazon Web Services 服务入门 (PDF)。来自使用入站 Resolver 端点的本地部署资源的查询

经过查询后发现是 ocsp 的问题

发表于 2025-10-16 resolver ocsp underscores

经过查询后发现是 OCSP 的问题。用简单的方式来理解，OCSP 是一种用来确认 SSL 凭证真实性的机制。然而因为造成隐私权问题，而且实际上不一定能确保传输的安全性，因此在 Chrome 当中并不会预设启用这个功能