為什么無法訪問國外網(wǎng)站？都是DNS污染惹的禍

一、什么是DNS污染？

DNS污染又稱域名服務緩存投毒，是指通過制作域名服務數(shù)據(jù)包，將域名指向不正確的IP地址。在正常的DNS解析過程中，下一級域名服務器會將從上游域名服務器獲得的解析記錄保存一段時間，當在TTL值失效之前，有相同域名的解析請求時，就會直接將解析記錄告知客戶端，而無需進行全球范圍的遞歸查詢，這樣既加快了查詢時間，同時也降低了服務器工作壓力。

但在這個過程中，如果局域域名服務器的緩存受到污染，就會告知客戶端錯誤的解析記錄，從而將用戶指向錯誤的網(wǎng)站。這種攻擊方式，被稱為DNS污染。

二、DNS污染的常見場景

某些網(wǎng)絡(luò)運營商為了達成某些目的，對DNS進行某些操作，就會導致使用ISP正常上網(wǎng)設(shè)置無法通過域名訪問正確的IP地址。如果掌握了部分國際DNS根目錄服務器或鏡像，也可以通過DNS污染的方式，屏蔽對特定網(wǎng)站的訪問。

許多國內(nèi)被禁止的網(wǎng)站都是通過DNS污染實現(xiàn)的，如google、YouTube等網(wǎng)站無法直接訪問都是通過DNS污染方式實現(xiàn)的。

因為google.com的服務器在國外，所以在訪問時DNS解析必須轉(zhuǎn)到國際帶寬的輸出，然后會被GFW捕獲。由于DNS使用UDP協(xié)議，而UDP沒有驗證機制，只需發(fā)送即可。因此，此時GFW偽裝成一個相應的DNS服務器，就會返回錯誤的地址信息。

三、DNS污染如何應對？

解決方案1：需要能夠替換DNS解析服務器。通常，域名注冊企業(yè)提供免費的DNS解析服務。域名提供商可以提供許多免費的DNS解析服務，并且其解析速度非�？�，多組DNS服務器，可以更好地避免被DNS污染。

耐思智慧域名解析采用最新的分布式云架構(gòu)，支持高防DNS，可提供超百G防護流量、1T+DDOS攻擊保護和5.6億+QPS查詢防護，有效降低DNS劫持、DNS污染等攻擊給運營商帶來的損失。

解決方案2：使用第三方DNS解析服務，以及使用CDN服務，CDN服務商會提供他們的DNS服務器解析服務和CDN的網(wǎng)絡(luò)IP地址 。