DNS使用UDP作为传输层协议,但在某些情况下可以切换到TCP。 因此,使用UDP时,DNS消息的大小限制为512字节。 基本DNS消息以固定的12字节标头开头,后跟四个可变长度的部分:
DNS的开发是为了适应80年代的速度和流量,因为只有少数参与研究和开发的精英才能访问互联网。然而,自从速度,流量以及更重要的是互联网结构的方式以来,已经发生了很多变化。我们已经从集中式服务器架构走了很长一段路 - 互联网现在已经分发并服务于全球受众。
从上面的DNS消息结构中可以看出,当前表单中的DNS消息没有足够的空间来添加更多信息。在此背景下,增强DNS协议以满足新的要求变得至关重要。因此,提出了DNS的扩展机制,即EDNS。在较高的层面上,EDNS允许我们克服DNS标头中几个标志字段,返回码和标签类型的大小限制。它还允许将DNS消息大小从512字节扩展(当UDP用作传输协议时),而无需切换到TCP。
这个增强版的DNS如何使内容交付网络能够为最终用户提供高性能?
内容传送网络(CDN)确保最终用户从地理位置靠近它们的服务器提供服务。 这通常以两种方式完成 -
Catchpoint中的DNS体验测试可用于了解属于第一类的CDN使用的DNS解析过程。 此测试类型还有助于监视CDN网络上DNS服务器的性能和可用性。
随着公共DNS递归解析器(如Google DNS和Open DNS)以及使用集中式DNS解析器基础结构的ISP的出现,最终用户和递归解析器在拓扑上接近的假设不再有效。 例如,Open DNS解析器在印度尚未出现,因此如果最终用户使用Open DNS解析器,则可以在新加坡( >著作权归作者所有。
商业转载请联系作者获得授权,非商业转载请注明出处。
作者:Fred Wu
链接:>先进行DNS污染检测
iis7网站监控
输入自己的域名,就可查询到网站当前有没有出现DNS污染的情况,也可以查询是否被劫持。
然后开始解决:
1/5
1、使用各种SSH加密代理,在加密代理里进行远程DNS解析,或者使用上网。
2/5
2、修改hosts文件, *** 作系统中Hosts文件的权限优先级高于DNS服务器, *** 作系统在访问某个域名时,会先检测HOSTS文件,然后再查询DNS服务器。可以在hosts添加受到污染的DNS地址来解决DNS污染和DNS劫持。
3/5
3、通过一些软件编程处理,可以直接忽略返回结果是虚假IP地址的数据包,直接解决DNS污染的问题。
4/5
4、如果你是Firefox only用户,并且只用Firefox,又懒得折腾,直接打开Firefox的远程DNS解析就行了。在地址栏中输入:
about:config
找到networkproxysocks_remote_dns一项改成true。
5/5
5、使用DNSCrypt软件,此软件与使用的OpenDNS直接建立相对安全的TCP连接并加密请求数据,从而不会被污染。1、DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法,是一种DNS缓存投毒攻击(DNS cache
poisoning)。其工作方式是:由于通常的DNS查询没有任何认证机制,而且DNS查询通常基于的UDP是无连接不可靠的协议,因此DNS的查询非
常容易被篡改,通过对UDP端口53上的DNS查询进行入侵检测,一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name
Server)给查询者返回虚假结果。
2、而DNS污染则是发生在用户请求的第一步上,直接从协议上对用户的DNS请求进行干扰。
解决方法:
对于DNS污染,可以说,个人用户很难单单靠设置解决,通常可以使用或者域名远程解析的方法解决,但这大多需要购买付费的或SSH等,也可以通过修改Hosts的方法,手动设置域名正确的IP地址。
什么是DNS服务器
DNS是计算机域名系统 (Domain Name System 或Domain Name Service) 的缩写,它是由域名解析器和域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址功能的服务器。其中域名必须对应一个IP地址,一个IP地址可以有多个域名,而IP地址不一定有域名。域名系统采用类似目录树的等级结构。域名服务器通常为客户机/服务器模式中的服务器方,它主要有两种形式:主服务器和转发服务器。将域名映射为IP地址的过程就称为“域名解析”。
保护DNS服务器的有效 方法 :
1使用DNS转发器
DNS转发器是为其他DNS服务器
完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益。
使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。如果你的DNS服务器保存了你内部的域DNS资源记录的话, 这一点就非常重要。不让内部DNS服务器进行递归查询并直接联系DNS服务器,而是让它使用转发器来处理未授权的请求。
2使用只缓冲DNS服务器
只缓冲DNS服务器是针对为授权域名的。它被用做递归查询或者使用转发器。当只缓冲DNS服务器收到一个反馈,它把结果保存在高速缓存中,然后把 结果发送给向它提出DNS查询请求的系统。随着时间推移,只缓冲DNS服务器可以收集大量的DNS反馈,这能极大地缩短它提供DNS响应的时间。
把只缓冲DNS服务器作为转发器使用,在你的管理控制下,可以提高组织安全性。内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。使用你自己的只缓冲DNS服务器作为转发器能够提高安全性,因为你不需要依赖你的ISP的DNS服务 器作为转发器,在你不能确认ISP的DNS服务器安全性的情况下,更是如此。
3使用DNS 广告 者(DNS advertisers)
DNS广告者是一台负责解析域中查询的DNS服务器。例如,如果你的主机对于domaincom 和corpcom是公开可用的资源,你的公共DNS服务器就应该为 domaincom 和corpcom配置DNS区文件。
除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只回答其授权的域名的查询。这种DNS服务器不会对其他DNS服务器进行递归 查询。这让用户不能使用你的公共DNS服务器来解析其他域名。通过减少与运行一个公开DNS解析者相关的风险,包括缓存中毒,增加了安全。
4使用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。例如,你可能在内部网络上有一台DNS服务器,授权内部网络域名 internalcorpcom的DNS服务器。当网络中的客户机使用这台DNS服务器去解析techrepubliccom时,这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。
DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。DNS解析者可以是未授权DNS域名的只缓存DNS服务器。你可以让DNS 解析者仅对内部用户使用,你也可以让它仅为外部用户服务,这样你就不用在没有办法控制的外部设立DNS服务器了,从而提高了安全性。当然,你也 可以让DNS解析者同时被内、外部用户使用。
5保护DNS不受缓存污染
DNS缓存污染已经成了日益普遍的问题。绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前,就保存在高速缓存中。DNS高速缓存 能够极大地提高你组织内部的DNS查询性能。问题是如果你的DNS服务器的高速缓存中被大量假的DNS信息“污染”了的话,用户就有可能被送到恶意站点 而不是他们原先想要访问的网站。
绝大部分DNS服务器都能够通过配置阻止缓存污染。WindowsServer 2003 DNS服务器默认的配置状态就能够防止缓存污染。如果你使用的是Windows 2000 DNS服务器,你可以配置它,打开DNS服务器的Properties对话框,然后点击“高级”表。选择“防止缓存污染”选项,然后重新启动DNS服务器。
6使DDNS只用安全连接
很多DNS服务器接受动态更新。动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。DDNS能够极大地减轻DNS管理员的管理费用 ,否则管理员必须手工配置这些主机的DNS资源记录。
然而,如果未检测的DDNS更新,可能会带来很严重的安全问题。一个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新 的DNS主机记录,如果有人想连接到这些服务器就一定会被转移到其他的机器上。
你可以减少恶意DNS升级的风险,通过要求安全连接到DNS服务器执行动态升级。这很容易做到,你只要配置你的DNS服务器使用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态升级就可以实现。这样一来,所有的域成员都能够安全地、动态更新他们的DNS信息。
7禁用区域传输
区域传输发生在主DNS服务器和从DNS服务器之间。主DNS服务器授权特定域名,并且带有可改写的DNS区域文件,在需要的时候可以对该文件进行更新 。从DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。
然而,区域传输并不仅仅针对从DNS服务器。任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变,允许区域传输倾倒自己的区域数据 库文件。恶意用户可以使用这些信息来侦察你组织内部的命名计划,并攻击关键服务架构。你可以配置你的DNS服务器,禁止区域传输请求,或者仅允 许针对组织内特定服务器进行区域传输,以此来进行安全防范。
8使用防火墙来控制DNS访问
防火墙可以用来控制谁可以连接到你的DNS服务器上。对于那些仅仅响应内部用户查询请求的DNS服务器,应该设置防火墙的配置,阻止外部主机连接 这些DNS服务器。对于用做只缓存转发器的DNS服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。防火墙策略设置的重要一点是阻止内部用户使用DNS协议连接外部DNS服务器。
9在DNS注册表中建立访问控制
在基于Windows的DNS服务器中,你应该在DNS服务器相关的注册表中设置访问控制,这样只有那些需要访问的帐户才能够阅读或修改这些注册表设置。
HKLM\CurrentControlSet\Services\DNS键应该仅仅允许管理员和系统帐户访问,这些帐户应该拥有完全控制权限。
10在DNS文件系统入口设置访问控制
在基于Windows的DNS服务器中,你应该在DNS服务器相关的文件系统入口设置访问控制,这样只有需要访问的帐户才能够阅读或修改这些文件。
%system_directory%\DNS文件夹及子文件夹应该仅仅允许系统帐户访问,系统帐户应该拥有完全控制权限。
向客服申诉。可以向客服申诉更换网站IP地址,说明情况,并且要说明自己的网页受到攻击或者篡改的记录,拿出证据让后台审核,或者直接购买一个新的域名。
域名污染又称DNS污染、域名欺骗、域名缓存投毒。域名污染简单说就是当电脑向域名服务器发送了域名查询的请求,然后域名服务器把回应发送给你的电脑,这之间是有一个时间差的。如果某个攻击者能够在域名服务器的DNS应答还没有到达你的电脑之前,先伪造一个错误的DNS应答发给你电脑。那么你的电脑收到的就是错误的信息,并得到一个错误的IP地址。首先你要确定你遇到的问题确实是dns污染造成的现在一般的在默认设置下连接到了服务器后dns查询都是通过的如果你用的是chrome的话,在每次连接后它都会自动清除dns缓存,所以不存在dns污染问题
其次,使用冷门dns也是没用的墙会在满足
1发往53端口的dns查询
2使用udp协议
3查询中包含关键词
这三个条件时抢先返回一个虚假IP所以不管冷门与否,只要你使用的是使用53端口udp查询的境外dns服务器,就不可避免的会被dns污染
如果你只是要解决dns污染的话,我建议你使用
1goagent的dns功能,它能过滤已知的由GFW返回的虚假IP
2Dnsmasq或BIND,自架dns服务器,将经常访问且被污染的域名forward到非标端口例如opendns的5353端口
3使用chengr28/Pcap_DNSProxy · GitHub 这个软件,方法可以去看说明
还有一些其他方法,但原理都大同小异,都是相当于在本地架设dns服务器以返回正确的ip地址解决dns污染是正常访问的第一步,但并不能满足你所有的请求,所以你需要配合其他的手段当然,不喜欢折腾的话买个靠谱的就完事了,几乎是一劳永逸
你好,这有可能是你路由器或电脑的DNS服务器地址存在问题,可能属于不正常的IP地址,而且若你的路由器安全措施做得比较差,是可能会有人连上你的路由器然后篡改你路由器设置中的DNS设置。建议你点击立即修复按钮,或者是在腾讯电脑管家右下角的工具箱中点击DNS优选,点击立即检测之后,选择一个响应相应较快的DNS服务器地址,点击右侧的启用按钮。
如果你还有其它电脑问题,欢迎你继续在电脑管家企业平台提出,我们将尽力为你解答。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)