域名遭遇DNS污染怎么解决

1、DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法，是一种DNS缓存投毒攻击（DNS cache

poisoning）。其工作方式是：由于通常的DNS查询没有任何认证机制，而且DNS查询通常基于的UDP是无连接不可靠的协议，因此DNS的查询非

常容易被篡改，通过对UDP端口53上的DNS查询进行入侵检测，一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器（NS，Name

Server）给查询者返回虚假结果。

2、而DNS污染则是发生在用户请求的第一步上，直接从协议上对用户的DNS请求进行干扰。

解决方法：

对于DNS污染，可以说，个人用户很难单单靠设置解决，通常可以使用VPN或者域名远程解析的方法解决，但这大多需要购买付费的VPN或SSH等，也可以通过修改Hosts的方法，手动设置域名正确的IP地址。

“域名污染”又称“DNS污染”、“域名欺骗”、“域名缓存投毒”。“域名污染”简单说就是当电脑向域名服务器发送了“域名查询”的请求，然后域名服务器把回应发送给你的电脑，这之间是有一个时间差的。

如果某个攻击者能够在域名服务器的“DNS应答”还没有到达你的电脑之前，先伪造一个错误的“DNS应答”发给你电脑。那么你的电脑收到的就是错误的信息，并得到一个错误的IP地址。

扩展资料：

“域名污染”防除方法：

对付DNS劫持，只需要把系统的DNS设置手动切换为国外的DNS服务器的IP地址即可解决。

对于DNS污染，一般除了使用代理服务器和VPN之类的软件之外，并没有什么其它办法。但是利用我们对DNS污染的了解，还是可以做到不用代理服务器和VPN之类的软件就能解决DNS污染的问题。

从而在不使用代理服务器或VPN的情况下访问原本访问不了的一些网站。当然这无法解决所有问题，当一些无法访问的网站本身并不是由DNS污染问题导致的时候，还是需要使用代理服务器或VPN才能访问的。

DNS污染的数据包并不是在网络数据包经过的路由器上，而是在其旁路产生的。所以DNS污染并无法阻止正确的DNS解析结果返回。

但由于旁路产生的数据包发回的速度较国外DNS服务器发回的快，操作系统认为第一个收到的数据包就是返回结果，从而忽略其后收到的数据包，从而使得DNS污染得逞。

而某些国家的DNS污染在一段时期内的污染IP却是固定不变的，从而可以忽略返回结果是这些IP地址的数据包，直接解决DNS污染的问题。

参考资料来源：百度百科—DNS污染

代理服务器主要类型：

HTTP代理：最简单的一种代理形式，能够代理客户机的HTTP访问，上网浏览网页使用的都是HTTP协议，通常的HTTP代理端口为80、3128或8080端口。

SOCKS代理：SOCKS代理与HTTP等其他类型的代理不同，它只是简单地传递数据包，而并不关心是何种应用协议，既可以是HTTP协议，也可以是FTP协议，或者其他任何协议，所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。SOCKS代理又分为SOCKS4和 SOCKS5，二者不同的是SOCKS4代理只支持TCP协议（即传输控制协议），而SOCKS5代理则既支持TCP协议又支持UDP协议（即用户数据包协议），还支持各种身份验证机制、服务器端远程域名解析（解决DNS污染就靠这个了）等。SOCK4能做到的SOCKS5都可得到，但SOCKS5能够做到的SOCKS则不一定能做到。目前SOCKS5是最常用的一种SOCKS代理。

一、如何使用HTTP代理服务器

HTTP代理服务器的设置方法，对于IE和FireFox设置略有不同。设置前需要先找一些可用的免费代理服务器地址。

1、IE的设置是这样的，打开IE浏览器，选择菜单栏的“工具/Internet选项...”。

这时候分两种情况，对于ADSL拨号用户来说，选择一个网络连接后，点“设置”，如下图所示，选中代理服务器，填入地址和端口号。

2、对于局域网用户来说，需要点“局域网设置”，如下图所示，选中代理服务器，填入地址和端口号。

FireFox的设置和IE类似，打开FireFox浏览器，选择菜单栏的“工具/选项...”。

这时选择“高级/网络”，点设置，就出现下面的界面，就可以进行代理服务器的设置了，选中“手动配置代理”，然后填写代理服务器的地址和端口。

二、如何使用SOCKS代理服务器

这里就到重点内容了，SOCKS代理是目前功能最为全面，使用最为稳定的代理服务器，我目前上网就只用SSH搭建SOCKS代理服务器上网，访问网络没有任何限制。下面我就着重讲一下如何使用SOCKS代理服务器。

用SSH搭建SOCKS代理上网，建议使用Firefox浏览器，因为Firefox支持SOCKS代理远程域名解析，而IE只能通过类似SocksCap这样的第三方软件实现，不是很方便。

配置Firefox浏览器

　  1、在Firefox设置SOCKS远程域名解析，主要是为了防止DNS污染，具体设置方法是，在Firefox地址栏中，输入 about:config ，按确认，修改里面的一项数值，改成 network.proxy.socks_remote_dns=true 就可以了。

2、然后，打开FireFox浏览器，选择菜单栏的“工具/选项...”。选择“高级/网络”，点设置，就出现下面的界面，就可以进行代理服务器的设置了，选中“手动配置代理”，然后在SOCKS主机上，填写代理服务器的地址127.0.0.1，端口1080，SOCKS类型选择“SOCKS V5”，这时Firefox就配置结束。

设置SSH

配置好了Firefox，就该配置SSH了，安全外壳协议（Secure Shell Protocol / SSH）是一种在不安全网络上提供安全远程登录及其它安全网络服务的协议。常用的SSH工具有开源软件PuTTY，支持SSH远程登录的主机可以实现socks5代理服务器的功能，不过在PuTTY中没有配置文件，需要手动设置才能实现，且无法保存，而PuTTY完整版自带的pLink可以实现命令行方式调用PuTTY实现SSH的加密通道。

具体的方法是，去PuTTY官方网站下载pLink这个文件，pLink的调用参数是：plink -C -v -N -pw 密码 -D 本地端口 远程用户@IP或域名:远程希望打开的端口。

新建一个文件，写入以下内容，另存为pLink.bat批处理文件，并放在Putty的安装目录内。

@plink -N Username@sshServer -pw Password -D 127.0.0.1:1080

请将Username sshServer Password三处改为用户自己登陆SSH服务器的用户名、服务器地址和密码。这个SSH帐号可以通过多种方法获得，例如用户购买了某些国外主机空间或VPS就会有SSH帐号，或者在淘宝网也有SSH帐号出售，我自用的SSH帐号是用每年100美元购买虚拟主机时赠送的，通常SSH帐号的价格大约是每年几十元人民币左右，也有少量国外网站提供免费的SSH帐号。

执行这个批处理文件，保持其窗口开启，一旦关闭窗口代理便失效。然后打开已经配置好127.0.0.1:1080的Socks5代理的Firefox浏览器，就可以使用SOCKS代理服务器上网了。

其他设置技巧

为了方便代理服务器的快速切换，我推荐两个FireFox代理服务器扩展，一个是QuickProxy，可以实现一键切换代理功能，QuickProxy安装后在状态栏有一个按钮，点击后可以启用、关闭Firefox浏览器的默认代理设置，可以快速在代理和非代理之间切换，很方便。界面如下图所示。另一个是AutoProxy，通过一份无法访问的域名列表目录，实现自动在代理和非代理之间切换，该域名列表目录由志愿者手动维护。AutoProxy还可实现自定义您自己的代理规则；订阅规则列表；自定义代理服务器等功能。使用AutoProxy的时候需要注意，点“代理服务器-编辑代理服务器”，将ssh -D的端口由7070修改为1080，点“代理服务器-选择代理服务器”，将ssh -D设置为默认。

设置完成了之后，你就可以自由自在地在开放的互联网上傲游了。

---