為什么無法訪問國外網(wǎng)站？都是DNS污染惹的禍

一、什么是DNS污染？

DNS污染又稱域名服務(wù)緩存投毒，是指通過制作域名服務(wù)數(shù)據(jù)包，將域名指向不正確的IP地址。在正常的DNS解析過程中，下一級域名服務(wù)器會將從上游域名服務(wù)器獲得的解析記錄保存一段時間，當在TTL值失效之前，有相同域名的解析請求時，就會直接將解析記錄告知客戶端，而無需進行全球范圍的遞歸查詢，這樣既加快了查詢時間，同時也降低了服務(wù)器工作壓力。

但在這個過程中，如果局域域名服務(wù)器的緩存受到污染，就會告知客戶端錯誤的解析記錄，從而將用戶指向錯誤的網(wǎng)站。這種攻擊方式，被稱為DNS污染。

二、DNS污染的常見場景

某些網(wǎng)絡(luò)運營商為了達成某些目的，對DNS進行某些操作，就會導(dǎo)致使用ISP正常上網(wǎng)設(shè)置無法通過域名訪問正確的IP地址。如果掌握了部分國際DNS根目錄服務(wù)器或鏡像，也可以通過DNS污染的方式，屏蔽對特定網(wǎng)站的訪問。

許多國內(nèi)被禁止的網(wǎng)站都是通過DNS污染實現(xiàn)的，如google、YouTube等網(wǎng)站無法直接訪問都是通過DNS污染方式實現(xiàn)的。

因為google.com的服務(wù)器在國外，所以在訪問時DNS解析必須轉(zhuǎn)到國際帶寬的輸出，然后會被GFW捕獲。由于DNS使用UDP協(xié)議，而UDP沒有驗證機制，只需發(fā)送即可。因此，此時GFW偽裝成一個相應(yīng)的DNS服務(wù)器，就會返回錯誤的地址信息。

三、DNS污染如何應(yīng)對？

解決方案1：需要能夠替換DNS解析服務(wù)器。通常，域名注冊企業(yè)提供免費的DNS解析服務(wù)。域名提供商可以提供許多免費的DNS解析服務(wù)，并且其解析速度非�？欤�多組DNS服務(wù)器，可以更好地避免被DNS污染。

耐思智慧域名解析采用最新的分布式云架構(gòu)，支持高防DNS，可提供超百G防護流量、1T+DDOS攻擊保護和5.6億+QPS查詢防護，有效降低DNS劫持、DNS污染等攻擊給運營商帶來的損失。

解決方案2：使用第三方DNS解析服務(wù)，以及使用CDN服務(wù)，CDN服務(wù)商會提供他們的DNS服務(wù)器解析服務(wù)和CDN的網(wǎng)絡(luò)IP地址 。