通俗解釋:
dns汙染,指的是使用者訪問乙個位址,國內的伺服器(非dns)監控到使用者訪問的已經被標記位址時,伺服器偽裝成dns伺服器向使用者發回錯誤的位址的行為。
範例,facebook之類被牆的**。。***。
而dns汙染則是發生在使用者請求的第一步上,直接從協議上對使用者的dns請求進行干擾。
現行標準中 dns 查詢通常使用 udp 協議並且沒有任何驗證機制,並且根據慣例查詢者會接受第乙個返回的結果而拋棄之後的。因此只需監控 53 埠(dns 標準埠)的 udp查詢資料報並分析,一旦發現敏感查詢,則搶先向查詢者返回乙個偽造的錯誤結果,從而實現 dns 汙染。
dns汙染並無法阻止正確的dns解析結果返回,但由於旁路產生的資料報發回的速度較國外dns伺服器發回的快,作業系統認為第乙個收到的資料報就是返回結果,從而忽略其後收到的資料報,從而使得dns汙染得逞。
解決方法
對於dns劫持,可以採用使用國外公認的dns伺服器解決。例如opendns(208.67.222.222)或googledns(8.8.8.8)。
對於dns汙染,可以說,個人使用者很難單單靠設定解決,通常可以使用vpn或者網域名稱遠端解析的方法解決,但這大多需要購買付費的vpn或ssh等,也可以通過修改hosts的方法,手動設定網域名稱正確的ip位址。
如果需要確認網域名稱遭到了dns汙染而不是其他的故障,首先要了解,dns劫持是由國內的網域名稱伺服器完成的,所以我們把網域名稱伺服器換成國外的就可以解 決問題;而dns汙染是由系統完成的,所以即使更換了網域名稱伺服器,系統仍舊可以傳送偽造的網域名稱解析結果替換正確的解析結果。所以我們可以通過使用乙個不存 在的國外ip作為我們的網域名稱伺服器進行診斷究竟是dns劫持還是dns汙染。我們仍舊通過使用nslookup進行網路診斷,選乙個不能解析dnsip為 202.102.152.4:
c:\>nslookup twitter.com 202.102.152.4
dns request timed out.
timeout was 2 seconds.
*** can't find server name for address 202.102.152.4: timed out
server: unknown
address: 202.102.152.4
name: twitter.com
address: 93.46.8.89
我們看到,由於202.102.152.4不能解析dns,理應沒有任何返回。但我們卻得到了乙個錯誤的ip:93.46.8.89。我們再測試一下剛才被dns劫持的ip的情況:
c:\>nslookup www.163.com 202.102.152.4
dns request timed out.
timeout was 2 seconds.
*** can't find server name for address 202.102.152.4: timed out
server: unknown
address: 202.102.152.4
dns request timed out.
timeout was 2 seconds.
dns request timed out.
timeout was 2 seconds.
*** request to unknown timed-out
我們看到,www.163.com 沒有返回結果,那麼它沒有被dns汙染。
如果要解決dns汙染,我們只能使用各種加密**進行遠端dns解析、vpn或利用系統的漏洞了。
國內外DNS伺服器位址
港澳台dns伺服器位址 香港 205.252.144.228 208.151.69.65 202.181.202.140 202.181.224.2 澳門 202.175.3.8 202.175.3.3 台灣 168.95.192.1 168.95.1.1 國外dns伺服器位址 美國 208.67....
國內哪個DNS伺服器最快最好
1 114公共dns伺服器 1 純淨 無劫持 無需再忍受被強扭去看廣告或粗俗 之痛苦 2 攔截 釣魚病毒木馬 增強網銀 購物 遊戲 隱私資訊保安 3 學校或家長可選攔截 色情 保護少年兒童免受網路色情內容的毒害 如果有上述需求的,可以考慮下,效果還可以,延遲基本上在10ms以下,速度很好。2 阿里d...
國內外常用的DNS伺服器
dns,全稱domain name system,即網域名稱解析系統,幫助使用者在網際網路上尋找路徑,它在網際網路的作用是把網域名稱轉換成為網路可以識別的ip位址。google public dns 8.8.8.8,8.8.4.4 opendns 208.67.222.222,208.67.220....