DNS污染,也叫域名服务器缓存污染/域名服务器快照侵害。通常是因为一些特意或者无意制造出的域名服务器分组,让域名指向错误的IP地址。
通常,网站在互联网中一般有可信赖的域名服务器,在避免网络拥堵的情况下会先将外间域名服务器数据暂存起来,在下次别的机器需要解析域名时可快速提供服务。这样一来,当相关网域的域名服务器缓存被污染,就容易导致网域中的其他访问被引导到不正确的服务器/服务器的网站。
出现DNS污染,很可能是因为一些网络运营商为达到一些目的,对DNS进行操作,让通过ISP上网的正常用户没办法通过域名得到正确的IP地址。有一些国家或地区,为防止被特定区域访问且拥有DNS根目录服务器/镜像,也会利用DNS污染。
DNS劫持、DNS污染
运营商家、网络管理员等,在办公室等区域,会希望上班时不会浏览无关工作网站,通过DNS抢答机制。在机器查询DNS时,通过UDP协议进行通讯,队列中查询都有IDC识别,这就是DNS劫持。
应对措施:通过将系统DNS设置手动切换成国外DNS服务器IP地址就可以解决。
DNS污染,要通过代理服务器等软件才能处理。除此之外还可以使用华纳云的DNS污染处理方案,通过华纳云的三种不同类型方案,可以实现DNS污染的预防和处理。
DNS污染的数据包不是在网络数据包经过的路由器上,而是在旁路产生。因此DNS污染没办法阻止正确的DN解析结果返回。旁路中产生的数据包发回速度更快于国外DNS服务器发回速度,致使操作系统默认为第一次收到的数据包就是正确返回结果,忽视了后面收到的数据包,发生的DNS污染。有一些国家的DNS污染在一段时间内污染IP是固定的,因此可以忽视返回的结果是这些IP地址的数据包,这样也可以解决DNS污染问题。
如何验证?
通过执行以下命令:
nslookup 域名 144.223.234.234,判断该域名有没用被污染,由于144.223.234.234不存在,正常情况是没任何返回。而发生了DNS污染还是会有返回给我们一个错误的IP(不确定)。
处理方案:
1、用多种SSH加密代理,通过加密代理实现远程DNS解析;
2、修改hosts文件,在操作系统中hosts文件权限优先级高于DNS服务器,操作系统访问域名时会先检测hosts文件,再查询DNS服务器。只要把hosts添加受到污染的DNS地址就可以解决DNS污染和DNS劫持;
3、利用一些软件编程,可直接忽略第一次虚假的返回结果数据包,直接解决DNS污染;
4、如果使用Firefox only,且只用了Firefox,可以直接打开Firefox的远程DNS解析就行了。在地址栏中输入:about:config,找到network.proxy.socks_remote_dns一项改成true。
5、使用华纳云的DNS处理服务,覆盖国内 31 个省份和地区的数千个网络节点,可快速修复网站DNS劫持污染问题,这样可实现当天有效恢复全国地区98%用户访问。
以上,就是华纳云关于DNS污染定义和处理方案的相关介绍,如果大家还想了解更多关于DNS污染处理的解决方案,欢迎来访华纳云官网!