先提醒一下：“域名污染”這個詞還有其它幾個別名，分別是“域名欺騙”、“域名緩存投毒”（洋文叫：DNScachepoisoning）。今后看到這幾個別名，要曉得是同一個意思。

“域名污染”的原理，簡單說來是這樣滴：當你的電腦向域名服務器發(fā)送了“域名查詢”的請求，然后域名服務器把回應發(fā)送給你的電腦，這之間是有一個時間差的。如果某個攻擊者能夠在域名服務器的“DNS應答”還沒有到達你的電腦之前，先偽造一個錯誤的“DNS應答”發(fā)給你電腦。那么你的電腦收到的就是錯誤的信息，并得到一個錯誤的IP地址。

誰有“域名污染”的企圖？

從技術上講，只要攻擊者能夠位于“你”和“域名服務器”的傳輸線路中間，那么攻擊者就有機會搞“域名污染”。能夠做到這點的，可能是一個黑客/駭客，也可能是ISP。

某國家防火墻的兩種“域名污染”

剛才俺解釋了“域名污染”的原理，那種形式不妨稱為“直接污染”。由于某國家防火墻的特殊性，它不但可以做到“直接污染”，還可以做到“間接污染”。而普通的駭客頂多只能做到“直接污染”，難以做到“大范圍的間接污染”。

那么這兩種污染有啥區(qū)別捏？且聽俺細細道來。

某國家防火墻部署在哪？

首先有必要先掃盲一下“某國家防火墻（其實是一種IDS，也就是入侵檢測系統(tǒng)）的部署位置”。X國互聯(lián)網(wǎng)只有少數(shù)幾個國際出口（名氣較大的是：A出口、B出口、C出口）。如果你要訪問國外網(wǎng)站，你的網(wǎng)絡數(shù)據(jù)流就必定會經(jīng)過其中的某個“國際出口”。

某國家防火墻的直接污染

因為某國家防火墻部署在國際出口。如果你用的是【國外的】域名服務器，你的“DNS請求”必定會經(jīng)過國際出口；同樣，域名服務器的“DNS應答”必定也會經(jīng)過國際出口才能到你的電腦。這一來一回就給某國家防火墻提供了機會。

這種污染就是俺所說的“直接污染”。

某國家防火墻的間接污染

剛才介紹了“使用國外域名服務器會被直接污染”。那如果你用的是【國內的】域名服務器捏？就會被“間接污染”。過程如下：

1.比方說你用的是某運營商的DNS服務器，然后你想要訪問某個被不受歡迎的網(wǎng)站。

2.對于不受歡迎的網(wǎng)站，其網(wǎng)站服務器必定在國外，而且網(wǎng)站的域名肯定也不會使用CN之下的域名。所以，被封鎖的網(wǎng)站，其上級域名的“權威域名服務器”肯定也是在國外。

3.當你向“某運營商的DNS服務器”查詢不受歡迎的網(wǎng)站的域名，這臺“某運營商DNS服務器”就會去找這個不受歡迎的網(wǎng)站的上一級域名對應的“權威域名服務器”去進行“域名查詢”。

4.因為是從國外進行域名查詢，相關的數(shù)據(jù)流必定要經(jīng)過國際出口。一旦經(jīng)過國際出口，就會被某國家防火墻污染。

5.如此一來，“某運營商的域名服務器”拿到的是已經(jīng)被污染的域名記錄（里面的IP是錯的）。而且“某運營商的域名服務器”會把這條錯誤的記錄保存在自己的域名緩存中。

6.下次如果有另一個網(wǎng)友也找這臺“某運營商的域名服務”查詢這個不受歡迎的網(wǎng)站，也會查到錯誤的結果。

上述過程不斷重復，最終會導致：全國所有的域名服務器，它們的緩存中只要是包含了不受歡迎的網(wǎng)站的記錄，記錄中的IP地址必定是錯的（這個錯誤的IP地址也就是某國家防火墻偽造的那個）。所以說“間接污染”是很牛逼的，可以把錯誤的域名記錄擴散到全國。

剛才俺說了，“域名污染”也叫“域名緩存投毒”。“投毒”一詞真的非常形象——就好像在某條河流的源頭下毒，從而把整條河流的水都污染。“域名污染”直接破壞了互聯(lián)網(wǎng)的基礎設施。

域名被污染的防除方法

對付域名DNS劫持，只需要把系統(tǒng)的域名DNS設置手動切換為國外的域名DNS服務器的IP地址即可解決。

對于域名DNS污染，一般除了使用代理服務器和VPN之類的軟件之外，并沒有什么其它辦法。但是利用我們對域名DNS污染的了解，還是可以做到不用代理服務器和VPN之類的軟件就能解決域名DNS污染的問題，從而在不使用代理服務器或VPN的情況下訪問原本訪問不了的一些網(wǎng)站。當然這無法解決所有問題，當一些無法訪問的網(wǎng)站本身并不是由域名DNS污染問題導致的時候，還是需要使用代理服務器或VPN才能訪問的。

域名DNS污染的數(shù)據(jù)包并不是在網(wǎng)絡數(shù)據(jù)包經(jīng)過的路由器上，而是在其旁路產(chǎn)生的。所以域名DNS污染并無法阻止正確的域名DNS解析結果返回，但由于旁路產(chǎn)生的數(shù)據(jù)包發(fā)回的速度較國外域名DNS服務器發(fā)回的快，操作系統(tǒng)認為第一個收到的數(shù)據(jù)包就是返回結果，從而忽略其后收到的數(shù)據(jù)包，從而使得域名DNS污染得逞。而某些國家的域名DNS污染在一段時期內的污染IP卻是固定不變的，從而可以忽略返回結果是這些IP地址的數(shù)據(jù)包，直接解決域名DNS污染的問題。

域名被污染的恢復解決方案

1、使用各種SSH加密代理，在加密代理里進行遠程DNS解析，或者使用VPN上網(wǎng)。

2、修改hosts文件，操作系統(tǒng)中Hosts文件的權限優(yōu)先級高于DNS服務器，操作系統(tǒng)在訪問某個域名時，會先檢測HOSTS文件，然后再查詢DNS服務器�？梢栽趆osts添加受到污染的DNS地址來解決DNS污染和DNS劫持。

3、通過一些軟件編程處理，可以直接忽略返回結果是虛假IP地址的數(shù)據(jù)包，直接解決DNS污染的問題。

4、如果你是Firefox only用戶，并且只用Firefox，又懶得折騰，直接打開Firefox的遠程DNS解析就行了。在地址欄中輸入：

about:config

找到network.proxy.socks_remote_dns一項改成true。

5、使用DNSCrypt軟件，此軟件與使用的OpenDNS直接建立相對安全的TCP連接并加密請求數(shù)據(jù)，從而不會被污染。

本文鏈接：http://m.51huadong.com/cloundnews/11003789.html