一、什么是DNS污染?
DNS污染又称域名服务缓存投毒,是指通过制作域名服务数据包,将域名指向不正确的IP地址。在正常的DNS解析过程中,下一级域名服务器会将从上游域名服务器获得的解析记录保存一段时间,当在TTL值失效之前,有相同域名的解析请求时,就会直接将解析记录告知客户端,而无需进行全球范围的递归查询,这样既加快了查询时间,同时也降低了服务器工作压力。
但在这个过程中,如果局域域名服务器的缓存受到污染,就会告知客户端错误的解析记录,从而将用户指向错误的网站。这种攻击方式,被称为DNS污染。
二、DNS污染的常见场景
某些网络运营商为了达成某些目的,对DNS进行某些操作,就会导致使用ISP正常上网设置无法通过域名访问正确的IP地址。如果掌握了部分国际DNS根目录服务器或镜像,也可以通过DNS污染的方式,屏蔽对特定网站的访问。
原文链接:https://baijiahao.baidu.com/s?id=1711682195755063433&wfr=spider&for=pc
许多国内被禁止的网站都是通过DNS污染实现的,如google、YouTube等网站无法直接访问都是通过DNS污染方式实现的。
因为google.com的服务器在国外,所以在访问时DNS解析必须转到国际带宽的输出,然后会被GFW捕获。由于DNS使用UDP协议,而UDP没有验证机制,只需发送即可。因此,此时GFW伪装成一个相应的DNS服务器,就会返回错误的地址信息。
三、DNS污染如何应对?
解决方案1:需要能够替换DNS解析服务器。通常,域名注册企业提供免费的DNS解析服务。域名提供商可以提供许多免费的DNS解析服务,并且其解析速度非常快,多组DNS服务器,可以更好地避免被DNS污染。
DNS.COM云解析采用最新的分布式云架构,支持高防DNS,可提供超百G防护流量、最高2TDDOS攻击保护和峰值10亿QPS查询防护,轻松应对大流量DDoS攻击或DNSQuery查询攻击,有效降低DNS劫持、DNS污染等攻击带来的损失。
原文地址:https://www.boce.com/news/923.html
