DNS污染,又稱為域名服務器緩存污染(DNS cache pollution)或者域名服務器快照侵害(DNS cache poisoning)��。
DNS污染是指一些刻意制造或無意中制造出來的域名服務器分組,把域名指往不正確的IP地址����。
一般來說�����,網站在互聯網上一般都有可信賴的域名服務器,但為減免網絡上的交通���,一般的域名都會把外間的域名服務器數據暫存起來,待下次有其他機器要求解析域名時��,可以立即提供服務����。一旦有相關網域的局域域名服務器的緩存受到污染�����,就會把網域內的電腦導引往錯誤的服務器或服務器的網址�����。
一、DNS污染癥狀:
目前一些被禁止訪問的網站很多就是通過DNS污染來實現的���,例如YouTube、Facebook等網站�。
還是舉個例子易于理解:這招是GFW常用的��。你訪問google.com 因為人家服務器在國外,你的DNS過去解析���,肯定要走國際帶寬的出口,然后就被GFW逮住了����。因為DNS 走的是UDP協議��,且UDP又沒有什么校驗機制,只管發送。所以這時候����,GFW就假裝成DNS服務器回應你了��,而此時真正的請求可能正在被真正的DNS服務器處理����,假的已經返回給你了���,瀏覽器就選擇了最快返回的那個地址去解析了��。當然是一個不可用的地址啦。
因為DNS 走的UDP協議���,并且是53端口,所以這有多好發現也就不言而喻了��。如果你強行讓DNS走TCP協議���,GFW 有辦法讓你連接重置��,雖然污染不了你的DNS����,但是你還是無法獲得ip�����。
也就是為什么有一種FQ方式就叫修改host 文件�,修改后��,域名不需要去DNS服務器請求了��,直接在你的操作系統里就已經解析出了ip 地址。但是,GFW還是會定期封殺這些網站的ip地址��,你的host就沒用了��。
二�、DNS污染驗證方法
1�����、進入iis7網站監控頁面,輸入你想要檢測的域名,如圖:
2、點擊“提交檢測”�����,開始檢測�,如圖:
3、檢測結果如圖:
使用地址:IIS7網站監控工具
三����、DNS污染解決方案
解決方案一:需要能夠進行更換DNS解析服務器���。通常域名注冊商家都是提供有免費的DNS解析服務的����,就拿大家都使用的gdaddy來說�����,就是能夠提供很多免費的DNS解析服務��,而且的話其解析速度也是非常快的����,比之前使用的萬網之流等都要快得多��,畢竟不可能全部會受到污染因此只要更換2個DNS服務器就好了。
解決方案二:使用第3方DNS解析服務���。目前很多第3方網站都提供有DNS解析服務,而且不少還是免費的,國內也都有免費的DNS解析服務����,這樣就能使用第3方DNS服務可以進行解決問題��;像有名的望月正在使用的DNSpod服務,就是現在國內比較穩定的DNS解析服務����。
四�����、解決DNS污染需要注意的問題
1、大家在進行第3方解析服務的時候�,就應該先到DNSPOD之類的解析服務商那里將域名進行解析�����,再過幾個小時后再到godaddy之類的域名注冊商那里去修改DNS服務器,這樣就能有效避免出現由于解析時間問題造成的空白期發生了���。
2、當godaddy本身域名被DNS污染后�,只用更改自己電腦的DNS就好了�����。
