很多人都听说过DNS污染,但是DNS污染和DNS劫持的关系一直模糊不清,区分不清楚。DNS污染就是属于DNS劫持里面的一种情况,是因为网络运营商有意识的操作DNS,让ISP不能正常上网设置,导致域名获得错误的IP地址。为了预防某个网站在一些国家或者地区因为某些目的访问,同时掌握部分国际DNS目录服务器或镜像,可以用DNS污染来进行屏蔽。这种和一些流氓运营商通过DNS劫持域名打广告不一样,DNS污染发生时域名会直接不能访问使用。
给大家打个比喻,假如有高年级同学们给新生们开了一个玩笑,把高中校园内的所有教室号都调换了,让新生们在校园种迷路,还坐在了错误的教室中。这样的结果就是,不匹配的教室号记录到校园目录中,新生们不断前往错误的教室......恶意攻击者可通过假冒 DNS 域名服务器,向 DNS 解析器发出请求,然后在 DNS 解析器查询域名服务器时伪造答复,使 DNS 缓存中毒,这就是DNS 查询返回错误响应并将用户定向到错误网站。
DNS域名污染不能完全处理,但通过处理可让访问恢复,常用的有三种方式:
一:DNSSEC
通过对DNS数据完整性和来源方法进行验证,DNS一开始设计时没有添加这种验证,这个就很可能是DNS中毒的一大原因。同TLS/SSL 很像,DNSSEC通过公钥加密来对数据来鉴定和验证身份。
DNSSEC 扩展是在 2005 年发布的,但 DNSSEC 尚未成为主流,因此 DNS 仍然容易受到攻击。
二:租用DNS污染解决服务
华纳云根据多年研发,开发了DNS污染处理,全面检测域名是否存在DNS污染,及时发现拦截域名污染劫持,因为不同污染程度,有效恢复全国区域98%用户恢复访问,预防域名被劫持。
三:使用自建的DNS服务器
这个方式最保险安全,但是比较需要投入时间和成本,适合有条件的用户。
华纳云的DNS污染处理支持先测后买,更安全放心,欢迎来华纳云官网咨询购买!