[MEDIUM] Malaysia non-ideal routing / high DNS latency to NextDNS encrypted DNS
尊敬的网络运维/路由团队:
我提交一份技术路由升级报告,怀疑从马来西亚到 NextDNS 加密 DNS 端点的路由不理想或 PoP 选择过远。
这不是一般的速度问题。具体问题是DNS解析延迟过高,并且怀疑是路由/对等互连/任播/超低速路径效率低下。
[概括]
- 国家:马来西亚
- 网络/ISP:[填写ISP:Maxis / Unifi / Digi / Celcom / U Mobile]
网络类型:马来西亚 Wi-Fi / 移动数据
- 设备:三星 Galaxy S10e
- DNS 服务:通过 SystemFlow 防火墙的 NextDNS
- 当前观察到的协议:NextDnsDoh
- 上游端点:***36.dns.nextdns.io
- 观测到的 DNS 延迟:213 毫秒
- 缓存命中率:0% (0/50)
- 备用次数:1
- 路线判定:马来西亚路由偏慢
置信度:70/100
- 预计附近PoP:马来西亚正常优先接近新加坡/吉隆坡/香港;澳大利亚/欧洲/美国视为跑远。
[加密 DNS 策略]
- 主要运输申请:DoH/443
- 备份传输:仅限 DoT/853 备份
- 金丝雀运输:DoQ/QUIC 金丝雀
- 传输协议栈:DoH/RFC8484 · DoT/RFC7858 · DoQ/RFC9250 · runtime-live · NextDNS ID 已加载
- 降级保护:失败关闭:禁止使用 UDP/53 和 TCP/53;没有 ISP/纯 DNS 回退。
- 普通 DNS 回退:已禁用/不允许
- 全局 TLS 中间人攻击:已禁用/不允许
[马来西亚路由医生证据]
- DoH主机名策略:强制DoH主机名主路:https://dns.nextdns.io/<config-id>,避免853单点慢。
- 超低动作:超低观察:不切回legacy 45.90.x anycast。
- 赛车政策:DoH keep-alive + DoT 备份探针 + DoQ watch;禁止明文 53。
- 缓存屏蔽:缓存屏蔽强化:TTL感知+重复合并+stale-if-error+Samsung/Google/CDN前置。
- 拒绝策略:拒绝:UDP/53、TCP/53、ISP DNS、静默降级、全局 TLS 中间人攻击。
- 证据包:我的 ISP + Wi-Fi/移动网络 + 协议=NextDnsDoh + 延迟=213毫秒 + 缓存=0% + 备用方案=1
- 诊断证据: 证据:保留p50/p95、当前协议、ISP、缓存命中率。
【混合广告特制硬化剂】
- 混合广告频道:观看
- 主机类别:普通/未知
置信度:45/100
- 行动:没有足够证据;继续观察DNS/IP/QUIC/SNI预览,不做TLS解密。
- 加密防护:仅加密:DoH/443 主协议 · DoT 备份协议 · DoQ 金丝雀协议 · 阻止 UDP/TCP 53 端口 · 禁止 TLS 中间人攻击
- 重试守卫:不因证据不足而制造误杀。
- 回滚政策:支出回滚。
- 证据:WATCH_INSUFFICIENT_EVIDENCE
[待验证的诊断]
1. NextDNS 诊断链接:[粘贴 nextdns.io/diag 链接]
2. test.nextdns.io 的结果:[粘贴 test.nextdns.io 的结果 / 服务器 / 协议]
3. 时间戳:14:44
4. Wi-Fi 结果:[填写延迟/服务器]
5. 移动数据结果:[填写延迟/服务器]
6. 屏幕截图证据:SystemFlow DNS 速度/路由医生面板
[请求操作]
请将此问题上报至网络运营中心/路由/对等互连团队并进行核查:
- 从马来西亚到 NextDNS 加密 DNS 端点的 BGP 路径选择
- 任播/超低节点选择
国际过境路径和对等路径
- 流量是否被路由到较远的接入点,而不是马来西亚/新加坡/香港
- TCP/853 DoT 路径与 HTTPS/443 DoH 相比是否存在性能缺陷
预期结果:
- 路线应尽可能选择附近的马来西亚/新加坡/香港的入境点。
- DNS p50 应该比目前的高延迟读数低得多。
- 加密 DNS 必须保持 DoH/DoT/DoQ;请不要推荐使用明文 UDP/53 回退。
谢谢。
Reply
Content aside
- yesterdayLast active
- 7Views
-
1
Following
