共計 1343 個字符，預計需要花費 4 分鐘才能閱讀完成。

網站運營中令我們頭疼的事情之一就是域名污染，它與域名被墻不同，DNS 污染是直接讓域名無法訪問。PING 一下我們的站點，會有很多節點解析到非我們服務器的 IP 地址。接下來分享域名污染是什么意思？域名污染的解決辦法有哪些？

一、域名污染是什么意思
域名污染又稱域名 DNS 服務器緩存污染（DNS cache pollution），簡單來說，當我們打開某個域名，電腦會向域名服務器發送域名查詢的請求，然后域名服務器把回應發送給你的電腦，這個過程有一個時間差。攻擊者會利用域名服務器的 DNS 應答還沒有到達你的電腦之前，先偽造一個錯誤的 DNS 應答發給你電腦。那么你的電腦收到的就是錯誤的信息，并得到一個錯誤的 IP 地址。
一般來說，在互聯網上都有可信賴的域名服務器，但為減低網絡上的流量壓力，一般的域名服務器都會把從上游的域名服務器獲得的解析記錄暫存起來，待下次有其他機器要求解析域名時，可以立即提供服務。攻擊者利用了這一特性，通過攻擊域名解析服務器（DNS），或偽造域名解析服務器（DNS）的方法，把目標網站域名解析到錯誤的地址而達到無法訪問目標網站的目的。
二、域名污染的原理解析
由于 DNS 污染的數據包并不是在網絡數據包經過的路由器上，而是在其旁路產生的。所以 DNS 污染并無法阻止正確的 DNS 解析結果返回，但由于旁路產生的數據包發回的速度較國外 DNS 服務器發回的快，系統認為第一個收到的數據包就是返回結果，從而忽略其后收到的數據包，從而使得 DNS 污染得逞。
以下模擬被污染的 DNS 請求過程：
假設 A 為用戶端，B 為 DNS 服務器，C 為 A 到 B 鏈路的一個節點的網絡設備（路由器，交換機，網關等等）。A 向 B 構建 UDP 連接，然后，A 向 B 發送查詢請求，查詢請求內容通常是：“A baidu.com”，這一個數據包經過節點設備 C 繼續前往 DNS 服務器 B；然而在這個過程中，C 通過對數據包進行特征分析（遠程通訊端口為 DNS 服務器端口，激發內容關鍵字檢查，檢查特定的域名如上述的“baidu.com", 以及查詢的記錄類型 "A 記錄 "），從而立刻返回一個錯誤的解析結果（如返回了 "A 123.123.123.123"），眾所周知，作為鏈路上的一個節點，C 機器的這個結果必定會先于真正的域名服務器的返回結果到達用戶機器 A，而我們的 DNS 解析機制有一個重要的原則，就是只認第一，因此 C 節點所返回的查詢結果就被 A 機器當作了最終返回結果，用于構建鏈接。

三、域名污染與域名被墻的區別
域名被墻簡單講是被我國的防火墻屏蔽了，多半是網站有敏感內容，不符合國內法律法規，域名被墻的表現為域名解析正常，但國內無法正常訪問。而域名污染是被利用了 DNS 協議中存在的漏洞，將 IP 地址錯誤指向，即輸 A 網絡地址，打開的卻是 B 網絡頁面。
四、域名污染的解決辦法
1、替換 DNS 解析服務器：一般域名注冊服務商都有提供免費的 DNS 解析服務，在域名管理面板將已指向的其它 DNS 地址替換為服務商的 DNS 地址即可。
2、第三方 DNS 解析服務：現在有許多第三方平臺提供 DNS 解析服務，有免費也有付費，將自己域名的 DNS 改為第三方平臺的 DNS 地址，同時重新添加域名解析。
3、自建 DNS 解析服務器：這個需要具備一定的技術知識，也可以請人搭建，有能力的朋友可以嘗試。

丸趣 TV 網 – 提供最優質的資源集合！