今夜无人入眠

北京时间今晚午夜，全球十三个根域名服务器的最后一台将完成 DNSSEC 部署。想要知道这是在干什么，先学习一下什么叫做“地址投毒”，这里还有这里。我来换个通俗的说法：

你的地址本(hosts file)容量有限，手工更新也麻烦，去不认识的地方你常需要问别人。你可以问本村的村长(DNS provided by ISP)，村长有私心，他知道但不一定告诉你。比方说你要问他信访办的地址他肯定不能告诉你 —— 他干的亏心事太多，怕你检举他呀。于是你试着问村外的人（OpenDNS, Google DNS, etc.）。但你和别人所有的谈话村长都在一旁偷听，不光偷听，在还总抢在别人回答前冒充对方给你个错误的地址。

如何证明村长在偷听？用这篇文章给出的方法，我们来作个简单的实验。打开一个命令行窗口，把下面的命令执行多次：

nslookup -type=A www.youtube.com 129.42.17.103

“129.42.17.103” 是一个不存在的 DNS 服务器（可以把这个地址换成一个其它同样没有 DNS 服务的 IP 地址，效果是一样的）。在墙外执行这个语句不会有返回，而在墙里不但有返回，而且每次的结果还不一样。

“www.youtube.com” 是一个村长不想让你知道地址，不管你问谁这个地址在哪儿，哪怕去问一条狗，心虚的村长都会在对方答话前抢答。鉴于你问的是一条傻狗，正常结果应该是它根本不理你。而现在，你刚问完话，就听见狗叫，你再问同样的问题，狗又叫但叫声和上次不同。至此可以断定，叫声不是来自你问的那条狗，而是村长在学狗叫。而如果把以上命令里的敏感地址换成比如 “www.sina.com.cn” 这样村长认为安全的地址，这回村长就不叫了（当然傻狗也不会回答你）。


DNSSEC 的工作就是要给村长冒充别人说话制造一点困难。接下来根服务器以下的 DNS 服务器也会引入这一技术，用户要做的事就是找一台墙外的 DNS 服务器，设好 IPSEC 和 CA 认证。步骤比较麻烦，不同操作系统方法也不一样，相信不久就会有图文攻略出炉，跟着做就是。

村长那边的最新动向：只许我学狗叫鸡叫，村民放个屁都要实名制。以便必要时可按“泄漏机密”或“危害安全”罪给放屁者以惩治。

村中屁民对此条令的反应大概是 ————

翻去年春夏之交的饭否记录，热词之一是“绿坝”，那个夏天没过完，饭否就没了。道消魔长，情况一天比一天糟，但我们总算守住了一城，不是么？