域名污染是什么？域名污染的解決方案

先提醒一下：“域名污染”這個詞還有幾個別名，分別是“域名欺騙”、“域名緩存投毒”（洋文叫：DNScachepoisoning）。以后看這些別名，要知道是一樣的意思。

“域名污染”簡單來說，當你的電腦發(fā)送到域名服務器時，原理就是這樣的:“域名查詢”請求，然后域名服務器將響應發(fā)送給您的計算機，這是一個時差。如果攻擊者能夠在域名服務器上“DNS應答”在到達你的電腦之前，偽造一個錯誤“DNS應答”給你發(fā)電腦。然后你的電腦收到錯誤的信息，得到錯誤的信息IP地址。

誰有“域名污染”的企圖？

從技術(shù)上講，只要攻擊者能位于“你”和“域名服務器”的傳輸線路中間，那么攻擊者就有機會搞“域名污染”。可能是黑客/黑客，也可能是黑客/黑客ISP。

兩種國家防火墻“域名污染”

剛才我解釋了“域名污染”那種形式的原理不妨稱之為“直接污染”。由于某國防火墻的特殊性，不僅可以做到“直接污染”，還可以做到“間接污染”。普通的黑客最多只能做到“直接污染”，難以做到“間接污染范圍廣”。

那么這兩種污染有什么區(qū)別呢？仔細聽我說。

某國防火墻部署在哪里？

首先要先掃盲。“某國防火墻(其實是一種IDS，即入侵檢測系統(tǒng))部署位置”。X國家互聯(lián)網(wǎng)只有少數(shù)國際出口(名氣大的是:A出口、B出口、C出口)。如果你想訪問外國網(wǎng)站，你的網(wǎng)絡(luò)數(shù)據(jù)流將通過其中一個“國際出口”。

某國防火墻的直接污染

因為一個國家的防火墻部署在國際出口。如果您使用國外域名服務器，您的“DNS請求”必定會經(jīng)過國際出口；同樣，域名服務器的“DNS應答”必定也會經(jīng)過國際出口才能到你的電腦。這一來一回就給某國家防火墻提供了機會。

這種污染就是我所說的。“直接污染”。

某國防火墻間接污染

剛才介紹了“使用外國域名服務器將被直接污染”。如果你使用國內(nèi)域名服務器？它會被捏嗎？“間接污染”。過程如下：

1.比如你用的是運營商。DNS服務器，然后你想訪問一個不受歡迎的網(wǎng)站。

2.對于不受歡迎的網(wǎng)站，其網(wǎng)站服務器必須在國外，網(wǎng)站域名不會使用CN下面的域名。因此，被封鎖的網(wǎng)站，其上級域名“權(quán)威域名服務器”一定是在國外。

3.當你向“某運營商的DNS服務器”查詢不受歡迎的網(wǎng)站域名，這個“某運營商DNS服務器”你會去這個不受歡迎的網(wǎng)站的上一級域名“權(quán)威域名服務器”去進行“域名查詢”。

4.由于域名從國外查詢，相關(guān)數(shù)據(jù)流必須通過國際出口。一旦通過國際出口，就會被某個國家的防火墻污染。

5.這樣，“運營商域名服務器”被污染的域名記錄(其中IP是錯的）。而且“運營商域名服務器”在域名緩存中保存錯誤記錄。

6.下次如果有另一個網(wǎng)友也找這個“運營商域名服務”查詢這個不受歡迎的網(wǎng)站，也會發(fā)現(xiàn)錯誤的結(jié)果。

上述過程不斷重復，最終會導致全國所有域名服務器的緩存包含不受歡迎的網(wǎng)站記錄和記錄IP地址一定是錯的(這是錯的)IP地址是某個國家偽造的防火墻)。“間接污染”它非常棒，可以將錯誤的域名記錄傳播到全國各地。

剛才我說了，“域名污染”也叫“域名緩存投毒”。“投毒”一個詞真的很生動——就像在某條河的源頭下毒，從而污染整條河的水。“域名污染”直接破壞互聯(lián)網(wǎng)基礎(chǔ)設(shè)施。

防止域名污染的方法

對付域名DNS劫持只需要系統(tǒng)域名DNS手動切換到國外域名的設(shè)置DNS服務器的IP地址可以解決。

對于域名DNS除了使用代理服務器和VPN除了這樣的軟件，沒有別的辦法。但是用我們的域名DNS了解污染仍然可以在不代理服務器和VPN這樣的軟件可以解決域名DNS因此，在不使用代理服務器或VPN訪問一些無法訪問的網(wǎng)站。當然，這并不能解決所有的問題，當一些無法訪問的網(wǎng)站本身不是域名時DNS當造成污染問題時，仍需使用代理服務器或VPN只能訪問。

域名DNS被污染的數(shù)據(jù)包不是在通過網(wǎng)絡(luò)數(shù)據(jù)包的路由器上，而是在其旁路上。所以域名DNS污染不能阻止域名正確DNS分析結(jié)果返回，但由于旁路產(chǎn)生的數(shù)據(jù)包發(fā)回速度快于國外域名DNS服務器返回快，操作系統(tǒng)認為第一個收到的數(shù)據(jù)包是返回結(jié)果，從而忽略后續(xù)收到的數(shù)據(jù)包，使域名DNS污染得逞。而些國家的域名DNS一段時間內(nèi)的污染IP但它是固定的，因此可以忽略返回結(jié)果IP地址數(shù)據(jù)包直接解決域名DNS污染問題。

域名污染恢復解決方案

1、使用各種SSH在加密代理中進行遠程加密代理DNS分析，或使用VPN上網(wǎng)。

2、修改hosts在操作系統(tǒng)中，文件Hosts文件的權(quán)限優(yōu)先級高于DNS訪問域名時，服務器和操作系統(tǒng)將首先檢測HOSTS然后查詢文件DNS服務器hosts添加被污染的DNS地址來解決DNS污染和DNS劫持。

3.通過一些軟件編程，返回結(jié)果可以直接忽略IP直接解決地址數(shù)據(jù)包DNS污染問題。

4、如果你是Firefoxonly用戶，只用Firefox，懶得折騰，直接打開Firefox的遠程DNS分析就行了。輸入地址欄：

about:config

找到network.proxy.socks_remote_dns一項改成true。

5、使用DNSCrypt軟件，軟件和使用OpenDNS相對安全的直接建立TCP連接并加密請求數(shù)據(jù)，從而不會被污染。