DNS污染，又稱為域名服務(wù)器緩存污染（DNS cache pollution）或者域名服務(wù)器快照侵害（DNS cache poisoning）。

DNS污染是指一些刻意制造或無(wú)意中制造出來(lái)的域名服務(wù)器分組，把域名指往不正確的IP地址。

一般來(lái)說(shuō)，網(wǎng)站在互聯(lián)網(wǎng)上一般都有可信賴的域名服務(wù)器，但為減免網(wǎng)絡(luò)上的交通，一般的域名都會(huì)把外間的域名服務(wù)器數(shù)據(jù)暫存起來(lái)，待下次有其他機(jī)器要求解析域名時(shí)，可以立即提供服務(wù)。一旦有相關(guān)網(wǎng)域的局域域名服務(wù)器的緩存受到污染，就會(huì)把網(wǎng)域內(nèi)的電腦導(dǎo)引往錯(cuò)誤的服務(wù)器或服務(wù)器的網(wǎng)址。

一、DNS污染癥狀：

目前一些被禁止訪問的網(wǎng)站很多就是通過(guò)DNS污染來(lái)實(shí)現(xiàn)的，例如YouTube、Facebook等網(wǎng)站。

　　還是舉個(gè)例子易于理解：這招是GFW常用的。你訪問google.com 因?yàn)槿思曳?wù)器在國(guó)外，你的DNS過(guò)去解析，肯定要走國(guó)際帶寬的出口，然后就被GFW逮住了。因?yàn)镈NS 走的是UDP協(xié)議，且UDP又沒有什么校驗(yàn)機(jī)制，只管發(fā)送。所以這時(shí)候，GFW就假裝成DNS服務(wù)器回應(yīng)你了，而此時(shí)真正的請(qǐng)求可能正在被真正的DNS服務(wù)器處理，假的已經(jīng)返回給你了，瀏覽器就選擇了最快返回的那個(gè)地址去解析了。當(dāng)然是一個(gè)不可用的地址啦。

　　因?yàn)镈NS 走的UDP協(xié)議，并且是53端口，所以這有多好發(fā)現(xiàn)也就不言而喻了。如果你強(qiáng)行讓DNS走TCP協(xié)議，GFW 有辦法讓你連接重置，雖然污染不了你的DNS，但是你還是無(wú)法獲得ip。

　　也就是為什么有一種FQ方式就叫修改host 文件，修改后，域名不需要去DNS服務(wù)器請(qǐng)求了，直接在你的操作系統(tǒng)里就已經(jīng)解析出了ip 地址。但是，GFW還是會(huì)定期封殺這些網(wǎng)站的ip地址，你的host就沒用了。

二、DNS污染驗(yàn)證方法

1、進(jìn)入iis7網(wǎng)站監(jiān)控頁(yè)面，輸入你想要檢測(cè)的域名，如圖：

2、點(diǎn)擊“提交檢測(cè)”，開始檢測(cè)，如圖：

3、檢測(cè)結(jié)果如圖：

使用地址：IIS7網(wǎng)站監(jiān)控工具

三、DNS污染解決方案

解決方案一：需要能夠進(jìn)行更換DNS解析服務(wù)器。通常域名注冊(cè)商家都是提供有免費(fèi)的DNS解析服務(wù)的，就拿大家都使用的gdaddy來(lái)說(shuō)，就是能夠提供很多免費(fèi)的DNS解析服務(wù)，而且的話其解析速度也是非?？斓?，比之前使用的萬(wàn)網(wǎng)之流等都要快得多，畢竟不可能全部會(huì)受到污染因此只要更換2個(gè)DNS服務(wù)器就好了。

解決方案二：使用第3方DNS解析服務(wù)。目前很多第3方網(wǎng)站都提供有DNS解析服務(wù)，而且不少還是免費(fèi)的，國(guó)內(nèi)也都有免費(fèi)的DNS解析服務(wù)，這樣就能使用第3方DNS服務(wù)可以進(jìn)行解決問題；像有名的望月正在使用的DNSpod服務(wù)，就是現(xiàn)在國(guó)內(nèi)比較穩(wěn)定的DNS解析服務(wù)。

四、解決DNS污染需要注意的問題

1、大家在進(jìn)行第3方解析服務(wù)的時(shí)候，就應(yīng)該先到DNSPOD之類的解析服務(wù)商那里將域名進(jìn)行解析，再過(guò)幾個(gè)小時(shí)后再到godaddy之類的域名注冊(cè)商那里去修改DNS服務(wù)器，這樣就能有效避免出現(xiàn)由于解析時(shí)間問題造成的空白期發(fā)生了。

2、當(dāng)godaddy本身域名被DNS污染后，只用更改自己電腦的DNS就好了。  

最新評(píng)論