1.什么是DNS污染?
DNS污染又称域名服务缓存中毒,是指通过制作域名服务包将域名指向不正确的IP地址。在正常的DNS解析过程中,下一级域名服务器会将从上游域名服务器获取的解析记录保存一段时间。当TTL值过期前有相同域名的解析请求时,会直接通知客户端解析记录,无需进行全局递归查询。这样不仅加快了查询时间,也减轻了服务器的工作压力。
但在这个过程中,如果本地域名服务器的缓存被污染,就会通知客户端错误的解析记录,从而将用户指向错误的网站。这种攻击称为DNS污染。
二、DNS污染的常见场景
一些网络运营商为了达到某些目的,在DNS上进行某些操作,会导致使用ISP的正常上网设置无法通过域名访问到正确的IP地址。如果掌握了一些国际DNS根服务器或镜像,也可以通过DNS污染屏蔽对特定网站的访问。
国内很多被禁网站都是通过DNS污染实现的,比如google,YouTube等不能直接访问的网站都是通过DNS污染实现的。
因为google.com的服务器都在国外,所以在访问的时候必须将DNS解析转移到国际带宽的输出,然后会被GFW捕获。因为DNS用的是UDP协议,而UDP没有认证机制,发就行了。所以当GFW伪装成对应的DNS服务器时,会返回错误的地址信息。
三、如何处理DNS污染?
解决方案1:您需要能够替换DNS解析服务器。通常情况下,域名注册公司会提供免费的DNS解析服务。域名提供商可以提供很多免费的DNS解析服务,解析速度非常快。多组DNS服务器可以更好的避免被DNS污染。
中科云分析采用最新的分布式云架构,支持高DNS防护,可提供超100 G防护流量、1T+DDOS攻击防护和5.6亿+QPS查询防护,有效降低DNS劫持、DNS污染等攻击给运营商带来的损失。
解决方案二:使用第三方DNS解析服务和CDN服务,CDN服务提供商将提供其DNS服务器解析服务和CDN的网络IP地址。
