什么是DNS污染？DNS污染的原理及防范措施 (什么是dns配置异常)

DNS污染，又称为网域服务器缓存污染或域名服务器缓存投毒（域名系统污染），是指恶意攻击者通过篡改DNS服务器上的数据，是一种网络攻击手段，其基本原理是篡改DNS服务器的解析结果，使得用户对某个域名的解析结果不正确，导致用户访问到错误的网站，从而达到拦截流量、误导用户或者进行钓鱼攻击等目的的行为。

DNS污染的原理 ：

DNS（Domain Name System）即域名系统，是互联网的一项核心服务，它作为将域名和IP地址相互映射的一个分布式数据库，使人们可以便捷地访问互联网，而不需要记忆能够被机器直接读取的IP数串。当用户访问一个网站时，他们的设备会首先向DNS服务器发送一个查询请求，以获取该网站的IP地址，然后才能与该网站建立连接。

DNS污染是通过篡改DNS服务器上的记录来实现的。当攻击者成功修改了DNS服务器上的记录时，他们就可以将用户的请求重定向到一个错误的或者恶意的网站。例如，当用户尝试访问一个域名时，其请求会被发送到DNS服务器。正常情况下，DNS服务器会根据域名对应的IP地址返回给用户。然而在DNS污染的情况下，攻击者可以截获这些请求，并篡改DNS服务器的解析结果，将用户重定向到恶意网站。由于DNS解析机制的一个重要原则是“只认第一”，即第一个返回的解析结果会被接受，因此攻击者可以通过这种方式将用户重定向到他们控制的恶意网站。

DNS污染的防范措施 ：

为了防止DNS污染，可以采取以下措施：

1. 使用https：

使用HTTPS（HTTP Secure）可以确保网站内容的加密传输，即使DNS解析被篡改，用户也会在连接时收到证书警告，从而意识到可能存在风险。

2. 部署DNSSEC：

DNSSEC（DNS Security Extensions）是一种为DNS添加签名和验证机制的扩展，它可以防止DNS数据在传输过程中被篡改。

3. 使用加密DNS服务：

如DNSCrypt等，可以确保DNS通信不被截获或篡改。

4. 定期检查Hosts文件：

确保它没有被篡改，并保持其完整性。

5.强化路由器安全：

及时更新路由器固件，并启用防火墙等安全功能也是必要的。

6. 使用可信任的DNS提供商：

使用知名的DNS提供商，这些提供商通常有更强的安全措施来保护其DNS服务器不受污染。

7. 定期审计DNS记录：

定期检查和审计DNS记录，确保没有未经授权的更改。

8. 使用双栈DNS：

使用IPv4和IPv6的双栈DNS服务器，即使一个版本受到污染，另一个版本仍然可以提供正确的解析结果。

9. 启用DNS缓存：

在本地网络中启用DNS缓存，可以减少对远程DNS服务器的依赖，降低被污染的风险。

10. 限制对DNS服务器的访问：

对于企业内部的DNS服务器，应限制外部访问，确保只有授权的网络可以进行查询。

通过这些措施的实施，可以显著降低DNS污染的风险，并保护用户的网络安全。

手机dns被污染怎么办

更改你的路由器dns即可，具体请安路由器说明书进入后台调整。如果是2g/3g，下载个dnset之类的就能改了

DNS欺骗攻击和防范方法有哪些

一 什么是DNSDNS 是域名系统 （Domain Name System） 的缩写，该系统用于命名组织到域层次结构中的计算机和网络服务。 在Internet上域名与IP地址之间是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 二 DNS的工作原理DNS 命名用于 Internet 等 TCP/IP 网络中，通过用户友好的名称查找计算机和服务。 当用户在应用程序中输入 DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。 因为，你在上网时输入的网址，是通过域名解析系解析找到相对应的IP地址，这样才能上网。 其实，域名的最终指向是IP。 在IPV4中IP是由32位二进制数组成的，将这32位二进制数分成4组每组8个二进制数，将这8个二进制数转化成十进制数，就是我们看到的IP地址，其范围是在0～255之间。 因为，8个二进制数转化为十进制数的最大范围就是0～255。 现在已开始试运行、将来必将代替IPV6中，将以128位二进制数表示一个IP地址。 大家都知道，当我们在上网的时候，通常输入的是如 这样子的网址，其实这就是一个域名，而我们计算机网络上的计算机彼此之间只能用IP地址才能相互识别。 再如，我们去一WEB服务器中请求一WEB页面，我们可以在浏览器中输入网址或者是相应的IP地址，例如我们要上新浪网，我们可以在IE的地址栏中输入 也可输入这样子 218.30.66.101 的IP地址，但是这样子的IP地址我们记不住或说是很难记住，所以有了域名的说法，这样的域名会让我们容易的记住。 DNS：Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统叫做域名管理系统。 DNS：Domain Name Server 域名服务器 域名虽然便于人们记忆，但网络中的计算机之间只能互相认识IP地址，它们之间的转换工作称为域名解析（如上面的 与 218.30.66.101 之间的转换），域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 三 DNS欺骗攻击DNS欺骗即域名信息欺骗是最常见的DNS安全问题。 当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。 DNS欺骗会使那些易受攻击的DNS服务器产生许多安全问题，例如：将用户引导到错误的互联网站点，或者发送一个电子邮件到一个未经授权的邮件服务器。 网络攻击者通常通过以下几种方法进行DNS欺骗。 1、缓存感染：黑客会熟练的使用DNS请求，将数据放入一个没有设防的DNS服务器的缓存当中。 这些缓存信息会在客户进行DNS访问时返回给客户，从而将客户引导到入侵者所设置的运行木马的Web服务器或邮件服务器上，然后黑客从这些服务器上获取用户信息。 2、DNS信息劫持：入侵者通过监听客户端和DNS服务器的对话，通过猜测服务器响应给客户端的DNS查询ID。 每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。 黑客在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。 3、DNS重定向攻击者能够将DNS名称查询重定向到恶意DNS服务器。 这样攻击者可以获得DNS服务器的写权限。 四 DNS的防范方法防范方法其实很简单，总结来说就只有两条。 （1） 直接用IP访问重要的服务，这样至少可以避开DNS欺骗攻击。 但这需要你记住要访问的IP地址。 （2） 加密所有对外的数据流，对服务器来说就是尽量使用SSH之类的有加密支持的协议，对一般用户应该用PGP之类的软件加密所有发到网络上的数据。 只要能做到这些，基本上就可以避免DNS欺骗攻击了。 现在知道为什么当你在浏览器中输入正确的URL地址，但是打开的并不是你想要去的网站了吧，这就是神奇的DNS欺骗，希望学习DNS协议欺骗攻击技术有所帮助

DNS劫持和DNS污染的区别及解决办法

DNS污染和DNS劫持在天朝是非常常见的现象。 输入了一个错误的URL后，本应该出现的404页面却是电信114，正常访问网站时出现的电信的小广告，使用了**却依然无法正常访问某些境外网站，以及最近爆出来的Gmail钓鱼页面，这些都是遭到DNS污染和DNS劫持的现象。 以下提供两种方法解决这个问题 only用户如果你只用Firefox又懒得折腾，直接打开Firefox的远程DNS解析就行了。 在地址栏中输入about:config找到_remote_dns一项改成true。 2.通用解决方法这种方法更为彻底，保证所有网络程序都能获得正确的DNS解析。 到以上地址下载DNS Proxy这一程序，安装（Vista/Win7需要以管理员身份运行）。 然后修改你的网络适配器设置（根据你的上网方式选择适配器），把DNS服务器地址手动指定为127.0.0.1，即本机地址。 程序默认使用OpenDNS，可以修改安装目录下的选用你自己喜欢的境外DNS服务器，比如Google DNS 8.8.8.8。