為什么無(wú)法訪問(wèn)國(guó)外網(wǎng)站?都是DNS污染惹的禍
一、什么是DNS污染?
DNS污染又稱(chēng)域名服務(wù)緩存投毒,是指通過(guò)制作域名服務(wù)數(shù)據(jù)包,將域名指向不正確的IP地址。在正常的DNS解析過(guò)程中,下一級(jí)域名服務(wù)器會(huì)將從上游域名服務(wù)器獲得的解析記錄保存一段時(shí)間,當(dāng)在TTL值失效之前,有相同域名的解析請(qǐng)求時(shí),就會(huì)直接將解析記錄告知客戶(hù)端,而無(wú)需進(jìn)行全球范圍的遞歸查詢(xún),這樣既加快了查詢(xún)時(shí)間,同時(shí)也降低了服務(wù)器工作壓力。
但在這個(gè)過(guò)程中,如果局域域名服務(wù)器的緩存受到污染,就會(huì)告知客戶(hù)端錯(cuò)誤的解析記錄,從而將用戶(hù)指向錯(cuò)誤的網(wǎng)站。這種攻擊方式,被稱(chēng)為DNS污染。
二、DNS污染的常見(jiàn)場(chǎng)景
某些網(wǎng)絡(luò)運(yùn)營(yíng)商為了達(dá)成某些目的,對(duì)DNS進(jìn)行某些操作,就會(huì)導(dǎo)致使用ISP正常上網(wǎng)設(shè)置無(wú)法通過(guò)域名訪問(wèn)正確的IP地址。如果掌握了部分國(guó)際DNS根目錄服務(wù)器或鏡像,也可以通過(guò)DNS污染的方式,屏蔽對(duì)特定網(wǎng)站的訪問(wèn)。
許多國(guó)內(nèi)被禁止的網(wǎng)站都是通過(guò)DNS污染實(shí)現(xiàn)的,如google、YouTube等網(wǎng)站無(wú)法直接訪問(wèn)都是通過(guò)DNS污染方式實(shí)現(xiàn)的。
因?yàn)間oogle.com的服務(wù)器在國(guó)外,所以在訪問(wèn)時(shí)DNS解析必須轉(zhuǎn)到國(guó)際帶寬的輸出,然后會(huì)被GFW捕獲。由于DNS使用UDP協(xié)議,而UDP沒(méi)有驗(yàn)證機(jī)制,只需發(fā)送即可。因此,此時(shí)GFW偽裝成一個(gè)相應(yīng)的DNS服務(wù)器,就會(huì)返回錯(cuò)誤的地址信息。
三、DNS污染如何應(yīng)對(duì)?
解決方案1:需要能夠替換DNS解析服務(wù)器。通常,域名注冊(cè)企業(yè)提供免費(fèi)的DNS解析服務(wù)。域名提供商可以提供許多免費(fèi)的DNS解析服務(wù),并且其解析速度非�?�,多組DNS服務(wù)器,可以更好地避免被DNS污染。
耐思智慧域名解析采用最新的分布式云架構(gòu),支持高防DNS,可提供超百G防護(hù)流量、1T+DDOS攻擊保護(hù)和5.6億+QPS查詢(xún)防護(hù),有效降低DNS劫持、DNS污染等攻擊給運(yùn)營(yíng)商帶來(lái)的損失。
解決方案2:使用第三方DNS解析服務(wù),以及使用CDN服務(wù),CDN服務(wù)商會(huì)提供他們的DNS服務(wù)器解析服務(wù)和CDN的網(wǎng)絡(luò)IP地址 。