请问我理解的 DNS 缓存污染定义,指教下是否正确?

2021-06-15 10:37:09 +08:00
 Sue6080
最近一直研究 DNS 污染,透过网上各种管道,得知有一个专有名词叫「 DNS 缓存污染」,我理解的意思是运营商解析网站的 DNS 的 A 记录,被运营商本身或怪客篡改 IP,这理解是否正确?
4171 次点击
所在节点    DNS
39 条回复
learningman
2021-06-25 15:22:09 +08:00
@Sue6080 #20 我说的客户端不就是“安卓与 IOS 的 APP 、电脑软件”吗。。。
至于后者,我是觉得不行,他们可能有负责搞 ZF 关系的业务?
Sue6080
2021-06-25 16:22:57 +08:00
@learningman ZF 关系是什麽意思?
那 HTTPDNS 用在客户端,三个大间的云厂商说法不一,是要怎麽买...
那网站的话就没有技术可以预防与阻止 DNS 递归解析污染与 DNS 缓存污染吗?
learningman
2021-06-25 16:47:35 +08:00
@Sue6080 #22 正文府,这打不出来没办法
对,没办法,因为需要对抗污染的不是你,而是你的用户
httpdns 免费的也一堆,自建都行,你问技术人员吧
Sue6080
2021-06-28 11:04:44 +08:00
@learningman 你可以试试用空格或引号隔开自能否打的出来
问过运维了,他说自建 DNS 也无法控制用户使用的 DNS,因此没有用,
httpdns 免费的不知道资安是否安全,免费的最贵,你有推荐的吗?
learningman
2021-06-28 11:05:58 +08:00
@Sue6080 #24 cloudflare,google 都行
Sue6080
2021-06-28 11:54:06 +08:00
@learningman 这样感觉结论是,只能用 HTTPDNS 预防与阻止[APP 使用域名]的 DNS 污染吗?
就算国内用户手机网路的 DNS 是运营商自动配发的也没关系?
另外你或身边的人有实际使用过 cloudflare,google 的 httpdns 吗?
Sue6080
2021-06-28 12:22:30 +08:00
@learningman 我用检测工具检测,发现 Cloudflare 官网 https://www.cloudflare.com/
没被 DNS 污染也没被墙耶,是否代表国内"可能"有一部份用户自行使用 CloudFlare 的 DNS?
---------分隔线[]---------------
还有如果要设定免费的 CloudFlare 的 HTTPDNS 的话,需要什麽权限?(如域名设定 ns 记录、ShardHost 的管理后台等)
learningman
2021-06-28 18:54:31 +08:00
@Sue6080 #27 你理解 DNS 是一个什么东西吗? httpdns 只不过是把传输方式换成了 https,依赖 tls 来防止中间人劫持,所以说必须要一个客户端
Sue6080
2021-06-29 09:52:35 +08:00
当然知道 DNS 原理,重点是如果 HTTPDNS 可以让用户使用我方 APP 时,连线我方指定的 DNS 的话,
那就算 APP 域名被墙还是被污染,APP 能正常使用吧?
v2tudnew
2021-07-02 19:24:43 +08:00
@Sue6080 域名污染的话 99%国内 DNS 是没用的,哪怕是加密 DNS 。
v2tudnew
2021-07-02 19:27:17 +08:00
当然也可以使用国外加密 DNS,但很多都被墙了,你需要内置很多,IOS 都允许这么做了,不过建议查询间隔优化下,很多粗制程序查询不忍直视。
Sue6080
2021-07-05 10:50:22 +08:00
请问你说的国外加密 DNS(有被墙的)有哪些?
我看 Cloudflare 没被墙的样子
内置很多事什麽意思?
查询间隔优化?
粗制程序查询?
Sue6080
2021-07-05 10:50:49 +08:00
@v2tudnew 请问你说的国外加密 DNS(有被墙的)有哪些?
我看 Cloudflare 没被墙的样子
内置很多事什麽意思?
查询间隔优化?
粗制程序查询?
fengxing
2021-07-05 20:49:01 +08:00
DNS 污染采用的方式是抢答,在核心节点部署的。
DNS 设计的就是只接受最先接收到的 ip,后面接收到的被直接遗弃。而 dns 缓存服务因为部署在核心节点,所以必然要比正常的递归服务器快,所以会根据关键词直接返回错误的 IP 地址。
具体的你用 dig +trace 就可以看到域名的递归过程,然后用抓包软件可以看到错误 ip 的抢答包和后面正确的包。
v2tudnew
2021-07-05 21:49:42 +08:00
@Sue6080
我这 Cloudflare 、谷歌、AdGuard 等常用加密 DNS 都被墙了,GFW 墙的分地区,所以让你内置大量 DNS 避免失效,当然你自己建立 DNS 服务器另说(感觉最后 DNS 服务器域名都会被污染。)
什么叫粗制程序? 间隔 8 秒查询一下 DNS ?拿到 A 解析疯狂查询 AAAA 解析?
Sue6080
2021-07-06 13:58:30 +08:00
@fengxing 恩恩,那为何能被抢答成功?
是运营商自己在运营商 DNS 中,做了哪些设定吗?
所以[DNS 缓存污染]问题是出在运营商的 DNS 吗?
[DNS 递归解析污染]问题是出在国内防火墙吗?
dig+trace 是每个版本的 linux 都能使用吗?(如 Ubuntu 、CentOS 等)
fengxing
2021-07-06 22:43:11 +08:00
@Sue6080 #36 根据关键词抢答。
dns 污染就是防火墙的原因,和运营商没啥关系。
dig 是一个查询 dns 的命令行软件,linux 一般都自带,+trace 是其中一项命令。当然也有 Windows 版本,这个请自行寻找安装。
Sue6080
2021-07-08 14:06:32 +08:00
@v2tudnew 请问你是怎麽查到 Cloudflare 有被墙的?
我用 blocky 查没被墙
内置大量 DNS->你是指域名的 ns 记录设定多个 nameserver 吗?
间隔 8 秒查询一下 DNS,拿到 A 解析疯狂查询 AAAA 解析-->这二个设定,如果是使用某云的 DNS,应该设定不了吧?
Sue6080
2021-07-08 15:04:46 +08:00
@fengxing 关键词抢答 @@?
但是我同一个网站服务器,有多个域名网站,关键字都差不多,
只有其中一个域名有 DNS 污染???
dig+trace 我成功在 Windows10 安装啰~谢谢告知

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/783433

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX