域名dns污染的情况其实我们很好遇见,但是我们在工作中遇见一例,将过程描述一下,希望对您有帮助?
贵公司相关负责人:
贵公司的域名xxa.org于2014年注册与阿里云下(附该域名证书)
从2018年8月份开始,贵司反应该域名下的邮箱mail.xx.org?在使用过程中,出现无法登录及无法收发邮件的故障,我司技术人员,初步怀疑是阿里的域名dns出现故障,经过与阿里云沟通无果,我们分别将该域名dns更换至dnspod,中资源等的域名解析服务器,经过2个多月的实际观察及分析,发现该域名已经被dns污染。
并且我们发现该域名国外无法访问,最近域名频繁被不明单位劫持,10月18日又将该域名的dns修改至阿里云公司,并提交工单,请阿里云技术协助核查,目前确定肯定是dns污染。
沟通中阿里云技术已经给了明确答复,我方建议更换域名,才能彻底解决该问题,不然网站会时常出现断网,邮箱会被劫持(具体谁在劫持我们应该可以想到,原因未知)到世界各地,影响邮箱的收发。(附阿里云客服沟通记录截图)
--------------------------------------------
附:何为域名dns污染?
dns污染,又称为域名服务器缓存污染(dns cache pollution)或者域名服务器快照侵害(dns cache poisoning)。
dns污染是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的ip地址。
定义
某些网络运营商为了某些目的,对dns进行了某些操作,导致使用isp的正常上网设置无法通过域名取得正确的ip地址。
某些国家或地区出于某些目的为了防止某网站被访问,而且其又掌握部分国际dns根目录服务器或镜像,也会利用此方法进行屏蔽。
常用的手段有:dns劫持和dns污染。
解决方案(以下办法成本极高仅供参考)
1、使用各种ssh加密代理,在加密代理里进行远程dns解析,或者使用vpn上网。
2、修改hosts文件,操作系统中hosts文件的权限优先级高于dns服务器,操作系统在访问某个域名时,会先检测hosts文件,然后再查询dns服务器。可以在hosts添加受到污染的dns地址来解决dns污染和dns劫持。
3、通过一些软件编程处理,可以直接忽略返回结果是虚假ip地址的数据包,直接解决dns污染的问题。
4、如果你是firefox only用户,并且只用firefox,又懒得折腾,直接打开firefox的远程dns解析就行了。在地址栏中输入:
about:config
找到network.proxy.socks_remote_dns一项改成true。
5、使用dnscrypt软件,此软件与使用的opendns直接建立相对安全的tcp连接并加密请求数据,从而不会被污染.。
基于以上,经过我方各方面咨询,目前没有解决办法,我方建议马上更换新域名!
所以如果你的网站被污染,最好的解决办法就是换域名。