用国内的域名解析服务器能不能避免DNS污染

G.K.D

叼爆小朋友 发表于 2021-11-28 15:49
墙的dns投毒不是发生在出国骨干网路由上面吗？域名解析服务器放国内，不过墙墙怎么投毒? ...

DNS 污染服务器早就分布式部署在国内各省份骨干网上了，离你比 DNS 服务器更近，才能实现 DNS 污染。

因为 DNS 污染的原理就是：
劫持服务器在路上观察，如果你发出了 DNS 解析请求，因为 DNS 是明文的，所以会被劫持服务器看到，然后直接返回错误的解析 IP，你收到这个错误 IP 的时候，你发出去的 DNS 请求可能才刚到目的地。。。

而因为设备只认第一个收到的 DNS 解析 IP，所以你访问网站时访问的就是错误 IP 了。
而正确的解析 IP 姗姗来迟，已经被设备忽略了。

G.K.D

davidsky2012 发表于 2021-11-28 16:06
全球污染那已经不仅仅是qiang的污染，还包括isp的劫持了（比如域名上了反诈中心）。 ...

当时大概是 16 年底或 17 年初，域名是放在 CloudXNS 的。
不管是谁干的，都是直接控制了域名解析权，导致国外解析的 IP 也都是错误的，挂代里也进不去我的网站，当时给我看傻了反正是。。。
我换回国外 DNS 托管解析后，等了两天才让国外绝大部分地区的解析 IP 恢复正常了（0~72 小时）。

davidsky2012

G.K.D 发表于 2021-11-28 16:10
DNS 污染服务器早就分布式部署在国内各省份骨干网上了，离你比 DNS 服务器更近，才能实现 DNS 污染。

因 ...

并不一定的：
1、通常情况下宽带用户到isp的dns会比污染服务器距离更近。只有用户使用一些公共dns服务（比如114）时才会使得污染服务器离用户更近。
2、绝大多数污染服务器仍旧会判断目的地是否为国内ip，如果是的话并不会进行污染。这个其实自己不难能进行测试——比如将本地dns服务改为国外的ip地址，而这个ip地址并不提供dns服务，然后本地发起查询，会发现没有被污染的域名不会有任何返回，而被污染的域名很快会收到污染服务器伪造的结果。而如果将本地dns服务改为国内ip，会发现不管这个ip离自己多远，绝大多数情况下即使查询被污染的域名仍旧不会有任何返回。

davidsky2012

G.K.D 发表于 2021-11-28 16:15
当时大概是 16 年底或 17 年初，域名是放在 CloudXNS 的。
不管是谁干的，都是直接控制了域名解析权，导 ...

那你这已经是最高规格的待遇了，同时上了qiang的污染+isp劫持。如果你当时ns记录早就是国外的话，可能只会有qiang的污染。正因为你那时用了国内的ns，导致qiang的污染无法完全阻断你，只能污染+劫持一起上了。

叼爆小朋友

G.K.D 发表于 2021-11-28 16:10
DNS 污染服务器早就分布式部署在国内各省份骨干网上了，离你比 DNS 服务器更近，才能实现 DNS 污染。

因 ...

腾讯云的域名解析服务器是CDN分布式的，好像不会出省，不会经过省骨干网，响应应该是最快的，不过ISP劫持域名倒是会发生这种情况