搬家能解决dns别https能防dns劫持吗的问题吗

来源:蜘蛛抓取(WebSpider) 时间:2017-08-21 00:58 标签: dns被劫持如何修复
【转】DNS劫持和DNS污染的区别 - 神奇的旋风 - 博客园
随笔 - 762, 文章 - 0, 评论 - 15, 引用 - 0
什么是DNS服务器?
  简单来说,DNS服务器就是域名管理系统.
  DNS(Domain Name System)是域名解析服务器的意思.
  DNS服务器是干什么的?
  DNS服务器在互联网的作用是:把域名转换成为网络可以识别的ip地址。首先,要知道互联网的网站都是一台一台服务器的形式存在的,但是我们怎么去到要访问的网站服务器呢?这就需要给每台服务器分配IP地址,互联网上的网站无穷多,我们不可能记住每个网站的IP地址,这就产生了方便记忆的域名管理系统DNS,他可以把我们输入的好记的域名转换为要访问的服务器的IP地址.
  也就是为了方便我们浏览互联网上的网站而不用去刻意记住每个主机的IP地址,DNS服务器就应运而生,提供将域名解析为IP的服务,从而使我们上网的时候能够用简短而好记的域名来访问互联网上的静态IP的主机。
  如何使用DNS服务器的域名解析服务?
  您拥有自己的域名后,您需要DNS服务器来解析您的域名。解析的作用就是告知您的访问者,您的网站是处于在哪个IP的主机上。
  DNS服务器是由您的域名注册公司来提供的,如果您在某公司注册域名,就由该公司来提供,您不需要做任何设置,只需保持默认选项即可。
  您可以随时更改您域名的设置,比如可以让它指到不同的IP。当您更改了域名的设置时,全世界的DNS服务器也将会一一被通知到。这样,全世界的互联网用户也将一一被引导到您新的主机。通知是有一个过程的,如果让全世界的DNS服务器都刷新并了解到您的改动,约需要24个小时
我们知道,某些网络运营商为了某些目的,对DNS进行了某些操作,导致网民使用正常的上网设置无法通过域名解析出正确的IP地址。常用的手段有:DNS劫持和DNS污染。
  什么是DNS劫持
  DNS劫持就是通过劫持了DNS服务器,通过某些手段取得某域名的解析记录控制权,进而修改此域名的解析结果,导致对该域名的访问由原IP地址转入到修改后的指定IP,其结果就是对特定的网址不能访问或访问的是假网址,从而实现窃取资料或者破坏原有正常服务的目的。DNS劫持通过篡改DNS服务器上的数据返回给用户一个错误的查询结果来实现的。
  DNS劫持症状:在某些地区的用户在成功连接宽带后,首次打开任何页面都指向ISP提供的&电信互联星空&、&网通黄页广告&等内容页面。还有就是曾经出现过用户访问Google域名的时候出现了百度的网站。这些都属于DNS劫持。
  什么是DNS污染
  DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法,是一种DNS缓存投毒攻击(DNS cache poisoning)。其工作方式是:由于通常的DNS查询没有任何认证机制,而且DNS查询通常基于的UDP是无连接不可靠的协议,因此DNS的查询非常容易被篡改,通过对UDP端口53上的DNS查询进行入侵检测,一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器(NS,Name Server)给查询者返回虚假结果。
  而DNS污染则是发生在用户请求的第一步上,直接从协议上对用户的DNS请求进行干扰。
  DNS污染症状:目前一些被禁止访问的网站很多就是通过DNS污染来实现的,例如YouTube、Facebook等网站。
  解决方法
  对于DNS劫持,可以采用使用国外免费公用的DNS服务器解决。例如OpenDNS(208.67.222.222)或GoogleDNS(8.8.8.8)。
  对于DNS污染,可以说,个人用户很难单单靠设置解决,通常可以使用VPN或者域名远程解析的方法解决,但这大多需要购买付费的VPN或SSH等,也可以通过修改Hosts的方法,手动设置域名正确的IP地址。
  DNS劫持就是指用户访问一个被标记的地址时,DNS服务器故意将此地址指向一个错误的IP地址的行为。范例,网通、电信、铁通的某些用户有时候会发现自己打算访问一个地址,却被转向了各种推送广告等网站,这就是DNS劫持。
  DNS污染,指的是用户访问一个地址,国内的服务器(非DNS)监控到用户访问的已经被标记地址时,服务器伪装成DNS服务器向用户发回错误的地址的行为。范例,访问Youtube、Facebook之类网站等出现的状况。
&from:/archives/3356.htmlDNS劫持解决方法_百度文库
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
DNS劫持解决方法
阅读已结束,下载文档到电脑
想免费下载更多文档?
定制HR最喜欢的简历
下载文档到电脑,方便使用
还剩3页未读,继续阅读
定制HR最喜欢的简历
你可能喜欢6353人阅读
other(4)
& & & & 家里联通宽带到期,之前使用的时候感觉出口速度并不好,听说移动宽带因为用的人少,出口带宽不错,准备换一下试试.临上马之前先考察一下,普遍反映移动的DNS限制比较多,各种DNS劫持.要是能有办法检测到自己正在使用的DNS是哪个就好了,还好有这个:
& & & & 结果如下:
& & & & 检测之前已经把本机DNS设置成114.114.114.114了,从结果上看果然有问题,应该是使用了的技术,导致.
& & & & 总结一下:
& & & &&DNS劫持,劫持单条DNS查询信息,返回不正确的结果.
& & & &&透明DNS代理,劫持所有查询信息,只要是经过运营商网关的发往53端口的UDP类型的DNS协议,全部都转移到自己DNS服务器上去,所以在本机上设置是没用的.
& & & &&这样一来,即使在内部网络中部署了DNS服务器也只可以起到加速作用,依然无法反劫持.因为内网中的DNS服务器向上级DNS服务器请求时的数据同样会被透明DNS代理劫持到ISP的DNS上.内部DNS服务器缓存的数据依然是被污染过的.
& & & &&如果想突破这种劫持,有三种方式. 这三种方式,都需要在本机对DNS请求数据进行预处理,所以本机都需要部署处理程序,同时将本地DNS设置为127.0.0.1.
& & & &&1.&&&使用.
& & & &&按照约定,DNS服务器都要同时实现TCP形式的DNS协议处理.这样一来,只需要在本地把UDP形式的协议转换为TCP形式就可以了.可以使用的工具有:
& & & &&(1)&
& & & &&socat是linux下很好用的端口转发工具,支持UDP转TCP,试用了一下,并不好用,经常各种错误.
& & & &&使用方法倒是很简单: socat udp4-listen:53,reuseaddr,fork TCP:114.114.114.114:53
& & & &&(2)& 和
& & & &&这两个都是专门的DNS协议转换工具,实际使用了一下,效果都很不理想,速度很慢.
& & & & (3)pdnsd
& & & & 这个其实是个dns服务器,需要设置向上级服务器请求时只使用TCP格式.貌似也就这个方案比较靠谱.
& & & &&之前还有尝试过其他的端口转发工具,要么不支持UDP,要么号称支持UDP,但是只支持UDP到UDP,不支持UDP到TCP.
& & & &&2.&&&使用加密软件对DNS请求和回复数据进行加密.
& & & &&这种方式的弊端是,既然内部有加密,外部必须有一个相应的解密工具.对个人来说,外部还需要部署一套专门的解密工具,需要VPS,代价有点大.
& & & &&使用这种方式的工具找到两个:
& & & &&(1)&
& & & &&这个工具貌似很有名,所以本身内置的DNS服务器地址已经大部分被封.速度很不理想,没有尝试自己部署服务器端会怎么样.
& & & &&(2)&
& & & &&没有具体试用.
& & & &&3.&&&使用其他端口.
& & & &&没有具体试用,没找到现成的工具.这种方式,需要本地转发DNS请求到指定端口,然后还需要在外网部署使用特定端口的DNS服务器.同样需要一台VPS.
&&相关文章推荐
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
访问:19410次
排名:千里之外
(1)(1)(2)(3)(1)(1)

我要回帖

更多关于 dns被劫持如何修复 的文章

 

随机推荐