我在查看 Verisign 的公共 DNS whois 检查器时得到了这个疯狂的结果。Amazon.com 没有启用 DNSSEC。# 要验证，请运行：~ ❯ delv amazon.com ; 未签名的答案 amazon.com. 2 IN A 98.82.161.185 amazon.com. 2 IN A 98.87.170.71 amazon.com. 2 IN A 98.87.170.74 确实 aws.com 启用了？~ ❯ delv aws.com ; 未签名的答案 aws.com. 59 IN A 143.204.142.107 aws.com. 59 IN A 143.204.142.125 aws.com. 59 IN A 143.204.142.53 aws.com. 59 IN A 143.204.142.119 好吧，google.com 启用了 DNSSEC：~ ❯ delv google.com ; 未签名的答案 google.com. 141 IN A 173.194.42.101 google.com. 141 IN A 173.194.42.113 google.com. 141 IN A 173.194.42.102 google.com. 141 IN A 173.194.42.138 google.com. 141 IN A 173.194.42.100 google.com. 141 IN A 173.194.42.139 好吧，有些地方严重出错了，这个工具坏了，或者我的客户端出错了。那么 Cloudflare 呢：~ ❯ delv cloudflare.com ; 完全验证 cloudflare.com. 134 IN A 104.16.132.229 cloudflare.com. 134 IN A 104.16.133.229 cloudflare.com. 134 IN RRSIG A 13 2 300 20260612003424 20260609223424 34505 cloudflare.com. bK9MssAMDa7/6dM0CJ0tRYisBorQ8vaDDWrhyvvzJjO7qp6ogft0eUdy c22Loq0Lw172ClsPmz2CWW5WLBMWfQ== 所以这不是我的工具，因为 Cloudflare 是正常工作的。有没有人能解释一下发生了什么？AWS 自己有一篇关于此的文章。没有 DNSSEC，就无法用密码学方法证明 DNS 记录是准确的，因此 DNS 服务器的缓存可能返回攻击者的 IP。请查看 https://moquilabs.com