DNS污染，又稱為域名服務(wù)器緩存污染（DNS cache pollution）或者域名服務(wù)器快照侵害（DNS cache poisoning）。

DNS污染是指一些刻意制造或無意中制造出來的域名服務(wù)器分組，把域名指往不正確的IP地址。

一般來說，網(wǎng)站在互聯(lián)網(wǎng)上一般都有可信賴的域名服務(wù)器，但為減免網(wǎng)絡(luò)上的交通，一般的域名都會把外間的域名服務(wù)器數(shù)據(jù)暫存起來，待下次有其他機器要求解析域名時，可以立即提供服務(wù)。一旦有相關(guān)網(wǎng)域的局域域名服務(wù)器的緩存受到污染，就會把網(wǎng)域內(nèi)的電腦導(dǎo)引往錯誤的服務(wù)器或服務(wù)器的網(wǎng)址。

一、DNS污染癥狀：

目前一些被禁止訪問的網(wǎng)站很多就是通過DNS污染來實現(xiàn)的，例如YouTube、Facebook等網(wǎng)站。

　　還是舉個例子易于理解：這招是GFW常用的。你訪問google.com 因為人家服務(wù)器在國外，你的DNS過去解析，肯定要走國際帶寬的出口，然后就被GFW逮住了。因為DNS 走的是UDP協(xié)議，且UDP又沒有什么校驗機制，只管發(fā)送。所以這時候，GFW就假裝成DNS服務(wù)器回應(yīng)你了，而此時真正的請求可能正在被真正的DNS服務(wù)器處理，假的已經(jīng)返回給你了，瀏覽器就選擇了最快返回的那個地址去解析了。當然是一個不可用的地址啦。

　　因為DNS 走的UDP協(xié)議，并且是53端口，所以這有多好發(fā)現(xiàn)也就不言而喻了。如果你強行讓DNS走TCP協(xié)議，GFW 有辦法讓你連接重置，雖然污染不了你的DNS，但是你還是無法獲得ip。

　　也就是為什么有一種FQ方式就叫修改host 文件，修改后，域名不需要去DNS服務(wù)器請求了，直接在你的操作系統(tǒng)里就已經(jīng)解析出了ip 地址。但是，GFW還是會定期封殺這些網(wǎng)站的ip地址，你的host就沒用了。

二、DNS污染驗證方法

1、進入iis7網(wǎng)站監(jiān)控頁面，輸入你想要檢測的域名，如圖：

2、點擊“提交檢測”，開始檢測，如圖：

3、檢測結(jié)果如圖：

使用地址：IIS7網(wǎng)站監(jiān)控工具

三、DNS污染解決方案

解決方案一：需要能夠進行更換DNS解析服務(wù)器。通常域名注冊商家都是提供有免費的DNS解析服務(wù)的，就拿大家都使用的gdaddy來說，就是能夠提供很多免費的DNS解析服務(wù)，而且的話其解析速度也是非?？斓?，比之前使用的萬網(wǎng)之流等都要快得多，畢竟不可能全部會受到污染因此只要更換2個DNS服務(wù)器就好了。

解決方案二：使用第3方DNS解析服務(wù)。目前很多第3方網(wǎng)站都提供有DNS解析服務(wù)，而且不少還是免費的，國內(nèi)也都有免費的DNS解析服務(wù)，這樣就能使用第3方DNS服務(wù)可以進行解決問題；像有名的望月正在使用的DNSpod服務(wù)，就是現(xiàn)在國內(nèi)比較穩(wěn)定的DNS解析服務(wù)。

四、解決DNS污染需要注意的問題

1、大家在進行第3方解析服務(wù)的時候，就應(yīng)該先到DNSPOD之類的解析服務(wù)商那里將域名進行解析，再過幾個小時后再到godaddy之類的域名注冊商那里去修改DNS服務(wù)器，這樣就能有效避免出現(xiàn)由于解析時間問題造成的空白期發(fā)生了。

2、當godaddy本身域名被DNS污染后，只用更改自己電腦的DNS就好了。  

最新評論