加载失败
Quad9(一个公共/非营利的 DNS 解析服务)公开把针对解析器的侵权屏蔽令称为“存在性威胁”,引发社区对 DNS 是否会被司法用作审查工具的讨论。评论引用了 Cisco OpenDNS 在法国与葡萄牙因法院裁定被限制服务的实例,并担心大型跨境协定(如瑞士与 EU 的协议)会把版权合规压力扩大到公共解析器。技术层面的讨论聚焦于 RPZ(BIND 的策略拦截)、EDNS0 client subnet 导致的 A/AAAA 返回差异、DNSSEC 的启用与否,以及根服务器/注册局在法律攻防中的不同角色。应对建议包括自建解析器(Unbound、Pi-hole)、使用 DoH/DoT 加密传输、或探索 Tor/ENS 等去中心化访问路径,但评论同时指出这些替代方案各自存在性能、监管或经济上的局限。
评论提到已有先例:Cisco 的 OpenDNS 因法国(依据体育法 L.333-10)和葡萄牙(依据著作权法 210‑G(3))的法院裁定在这些地区被限制服务,说明司法可以直接迫使解析服务改变可用性。多条评论认为对解析器下封锁令比直接去 ICANN 没收域名更容易执行,因此运营商和公共解析器面临不对称的法律与合规压力。有人担心跨境协议(如瑞士可能与 EU 的大型协定)会把本地更宽松的版权规则收窄,从而扩大这类命令的适用范围。为应对,有评论建议在被封请求处返回说明页面并提供联络政府代表的信息,提高透明度而非默默屏蔽。
多名用户实测发现 Quad9(9.9.9.9)返回的 A/AAAA 记录和 Google(8.8.8.8)与 Cloudflare(1.1.1.1)不同:对同一域名,8.8/1.1 常返回多条 IP,而 9.9.9.9 只返回一条或明显更少,暗示上游策略或 geo/load balancing 差异会改变返回集合。评论指出 Google 会使用 edns0-client-subnet 进行地理定向,且 Quad9 的查询有时以 IPv6 源地址发送给权威服务器,导致权威基于不同来源返回不同答案。多位用户报告 Quad9 在某些地区出现持续 SERVFAIL 或无法发送查询的情况,迫使他们切换到 Cloudflare 或其他节点,反映稳定性问题会把法律风险变成可用性问题。也有人提醒使用静态、非负载均衡的域名来做对比测试,以排除权威服务器的负载均衡影响。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7]
许多评论建议通过自建递归解析器来规避第三方封锁,常被提到的工具包括 Unbound(开源递归解析器)、Pi-hole(局域网 DNS/广告过滤器)和使用 Mullvad 或 DNS4EU 等替代公共解析器。对于担心大量自建会压垮根服务器的说法,评论引用 RFC 7706/8806 并展示实际缓存数据说明根 Anycast 集群设计用于承载大量请求且可通过本地保存根区副本与调整缓存/TTL 来减少外部查询。实操建议包括启用大内存缓存、调整 min-ttl、开启 prefetch,以及在 VPS/朋友间共享缓存以提升命中率;用户还贴出了 Unbound 的缓存命中与内存示例以示可行性。讨论同时提到加密传输(DoH/DoT)、通过 Tor/.onion 或区块链命名(如 ENS)作为备选访问路径,但也有人提醒这些方案存在监管、性能或经济上的局限。
[来源1] [来源2] [来源3] [来源4] [来源5] [来源6] [来源7] [来源8]
评论回顾了 BIND 的 RPZ(Response Policy Zone)如何把递归解析器变成能‘说谎’的设备:解析器可基于策略返回 NXDOMAIN 或重定向,客户端通常无法察觉这种替换。RPZ 最初用于屏蔽已知恶意域名,但有人指出它已被用于更广泛的行政或合规目的(例如对 TikTok 的限制),从而把 DNS 作为审查工具。有实际抱怨称 Quad9 曾短暂封锁过 torrent tracker 和 gist.github.com 等非恶意域名,显示误报或政策扩张对真实使用会有破坏性。因此评论者担忧一旦解析器常态化此类策略,技术上易实现但政治和透明度不足,会导致“合法合规”演化成事实审查。
多条评论区分了根服务器(root servers)、注册局(registries)与解析器的法律可控性:根服务器只告诉客户端顶级域的注册局在哪里,并不保存最终域记录,因此法院若要封域名通常会去影响注册局或注册商而非根区。历史案例表明注册局在域名争议中可作出剧烈处置:瑞典注册局在 Pirate Bay 案中把域名移交警方,警方能把域名视作财产处理,这与直接改写根区不同。评论还讨论了若国家逼迫移除国家级 TLD(如 .ru),会导致互联网碎片化并催生替代根服务器,说明对根区全面干预既政治化又有严重后果。总体结论是相比去 ICANN/注册局没收域名,向解析器下达封锁命令通常是更容易、也更常见的法律策略。
讨论把技术争议放回更大的政治經濟框架:有人认为大型公司通过充足的法律资源与资金能拖延诉讼或以缴纳罚款换取运营空间,而小型非营利或个体运营者因资源不足面临生死存亡的风险。还有人指出版权执法标准常常具有两套规则——例如对 ChatGPT 抓取网络内容的争议暴露了执法与商业实践的矛盾,公众对“盗版”与“合理使用”界线认知也不一致。对策层面,一部分评论认为纯粹的个人抵制(不使用网络服务)毫无杠杆,强调需要制度性或集体行动与技术透明度来制衡企业与政府的权力。总体上评论把问题归因于权力与财富集中,认为这会影响法律和技术的实施方向,而非单纯技术失灵。
RPZ (Response Policy Zone): BIND 的扩展机制,允许递归解析器基于策略返回伪造响应(如 NXDOMAIN 或重定向),最初用于阻断恶意域名,但也可被滥用于更广泛的屏蔽或审查。
EDNS0 client subnet (edns-client-subnet): EDNS0 的扩展字段,用于把客户端子网信息传递给权威 DNS,以便权威基于地理位置或负载返回不同 A/AAAA 记录,常用于地理定向与负载均衡。
DNSSEC: DNS Security Extensions,为 DNS 响应提供签名与验证以防篡改;解析器可选择是否启用验证,缺失时更易遭受伪造响应。
DoH / DoT (DNS-over-HTTPS / DNS-over-TLS): 将 DNS 查询通过 HTTPS 或 TLS 加密传输的协议,用以防止中间人窃听和篡改,是对抗 ISP/中间态度审查和窃听的常用手段。
Root DNS servers / Anycast(根服务器 / Anycast): Internet 根区的服务器集群,只指示顶级域注册局的位置而不存储末端域记录;根服务器广泛采用 Anycast 部署以承载高流量并降低延迟。
Unbound: Unbound 是一款流行的开源递归 DNS 解析器,可部署为本地 resolver,支持缓存、预取以及按 RFC 保存根区副本以减少对外查询。