我突然间有个比较有意思的想法，关于Weather Reporter程序的。

fender010

劫持dns不是关键，

关键是我觉得weather_reporter这个程序应该没有什么服务器验证机制，

比如google的gmail，即使劫持了也应该没有什么用，

因为gmail用了ssl/tsl来保证用户确实是连接到gmail服务器上。

狱卒

Post by fender010;2008080
劫持dns不是关键，

关键是我觉得weather_reporter这个程序应该没有什么服务器验证机制，

比如google的gmail，即使劫持了也应该没有什么用，

因为gmail用了ssl/tsl来保证用户确实是连接到gmail服务器上。

不必奇怪，目前至少有超过一半的网络应用不支持SSL/TLS等加密或验证方式，相比之下weather_reporter这个东东已经是无关紧要了。

fender010

哈哈，看来网络就是个不安全的东西，

相对来说weather_reporter的确是没有什么太大攻击的价值。

狱卒

Post by fender010;2008109
哈哈，看来网络就是个不安全的东西，

相对来说weather_reporter的确是没有什么太大攻击的价值。

没错，网络的确不那么安全，所以人们针对关键应用准备了特定的解决方案。
这就是为什么有http，但还需要https，有smtp但还有个smtps，有pop3却还有pop3s，有imap也有imaps，目前针对DNS服务也有了DNSSec。

聚焦深空

Post by 狱卒;2008133
目前针对DNS服务也有了DNSSec。

查了一堆资料，貌似暂无简单方法直接使用 dnssec
http://www.linuxsir.cn/bbs/showthread.php?p=2008175#post2008175

恶劣的网络环境逼着大家想办法保护自己。
从某种角度说，恶劣的网络环境也有好处。

Post by fender010;2008038
目前只用audacious听听歌，其他时间主要是用xfce-terminal+vim，所以放火墙只开了rsync和ftp给emerge用来update，

楼主，您的防火墙规则貌似过于小心了，您把自己外连的端口一并做了限制？
即使是服务器，这么做也够严厉的。
自己座机一般限制一下入连的端口即可，外连还是靠自己良好的安全习惯节制比较好。

另，您顶楼的想法很邪恶。
dns 服务器经常有安全隐患的，特别是 bind。
再一个大部分 dns 服务器负载都挺重的。

fender010

关于那个邪恶的想法，我也就是胡乱想想，

至于我的防火墙规则吗，我一直都是写的很严格的，

因为不开任何服务，所以进来的包全丢弃，而且出去的要包的目标端口也必须是在我指定的目标端口的才能出去，

虽然我知道即使是没有防火墙也很安全，但是总是配置的很严格。