目前一些被禁止访问的网站很多就是通过DNS污染来实现的,例如YouTube、Facebook等网站。
还是举个例子易于理解:这招是GFW常用的,你访问google.com 因为人家服务器在国外,你的DNS过去解析,肯定要走国际带宽的出口,然后就被GFW逮住了。因为DNS 走的是UDP协议,且UDP又没有什么校验机制,只管发送。所以这时候,GFW就假装成DNS服务器回应你了,而此时真正的请求可能正在被真正的DNS服务器处理,假的已经返回给你了,浏览器就选择了最快返回的那个地址去解析了,因此你访问的当然是一个不可用的地址啦。
因为DNS 走的UDP协议,并且是53端口,所以这有多好发现也就不言而喻了。如果你强行让DNS走TCP协议,GFW 有办法让你连接重置,虽然污染不了你的DNS,但是你还是无法获得正确IP。
也就是为什么有一种FQ方式就叫修改host 文件,修改后,域名不需要去DNS服务器请求了,直接在你的操作系统里就已经解析出了ip 地址。但是,GFW还是会定期封杀这些网站的ip地址,你的host就没用了。
DNS污染解决方案
解决方案一:需要能够进行更换DNS解析服务器。
通常域名注册商家都是提供有免费的DNS解析服务的,就拿大家都使用的DNS.COM来说,就是能够提供很多免费的DNS解析服务,而且的话其解析速度也是非常快的,毕竟不可能全部会受到污染,因此只要更换2个DNS服务器就好了。
解决方案二:使用第3方DNS解析服务。
目前很多第3方网站都提供有DNS解析服务,而且不少还是免费的,国内也都有免费的DNS解析服务,这样就能使用第3方DNS服务可以进行解决问题;像DNS.COM的高防DNS解析,就是现在国内比较稳定的DNS解析服务。
原文地址:https://www.boce.com/news/1242.html
