域名DNS污染的情况其实我们很好遇见,但是我们在工作中遇见一例,将过程描述一下,希望对您有帮助
贵公司相关负责人:
贵公司的域名xxa.org于2014年注册与阿里云下(附该域名证书)
从2018年8月份开始,贵司反应该域名下的邮箱mail.xx.org 在使用过程中,出现无法登录及无法收发邮件的故障,我司技术人员,初步怀疑是阿里的域名DNS出现故障,经过与阿里云沟通无果,我们分别将该域名DNS更换至DNSpod,中资源等的域名解析服务器,经过2个多月的实际观察及分析,发现该域名已经被DNS污染。
并且我们发现该域名国外无法访问,最近域名频繁被不明单位劫持,10月18日又将该域名的DNS修改至阿里云公司,并提交工单,请阿里云技术协助核查,目前确定肯定是DNS污染。
沟通中阿里云技术已经给了明确答复,我方建议更换域名,才能彻底解决该问题,不然网站会时常出现断网,邮箱会被劫持(具体谁在劫持我们应该可以想到,原因未知)到世界各地,影响邮箱的收发。(附阿里云客服沟通记录截图)
--------------------------------------------
附:何为域名DNS污染?
DNS污染,又称为域名服务器缓存污染(DNS cache pollution)或者域名服务器快照侵害(DNS cache poisoning)。
DNS污染是指一些刻意制造或无意中制造出来的域名服务器分组,把域名指往不正确的IP地址。
定义
某些网络运营商为了某些目的,对DNS进行了某些操作,导致使用ISP的正常上网设置无法通过域名取得正确的IP地址。
某些国家或地区出于某些目的为了防止某网站被访问,而且其又掌握部分国际DNS根目录服务器或镜像,也会利用此方法进行屏蔽。
常用的手段有:DNS劫持和DNS污染。
解决方案(以下办法成本极高仅供参考)
1、使用各种SSH加密代理,在加密代理里进行远程DNS解析,或者使用VPN上网。
2、修改hosts文件,操作系统中Hosts文件的权限优先级高于DNS服务器,操作系统在访问某个域名时,会先检测HOSTS文件,然后再查询DNS服务器。可以在hosts添加受到污染的DNS地址来解决DNS污染和DNS劫持。
3、通过一些软件编程处理,可以直接忽略返回结果是虚假IP地址的数据包,直接解决DNS污染的问题。
4、如果你是Firefox only用户,并且只用Firefox,又懒得折腾,直接打开Firefox的远程DNS解析就行了。在地址栏中输入:
about:config
找到network.proxy.socks_remote_dns一项改成true。
5、使用DNSCrypt软件,此软件与使用的OpenDNS直接建立相对安全的TCP连接并加密请求数据,从而不会被污染.。
基于以上,经过我方各方面咨询,目前没有解决办法,我方建议马上更换新域名!
所以如果你的网站被污染,最好的解决办法就是换域名。
