上一篇文章，我们了解到DNS的多级缓存机制，这种缓存机制保证了域名解析的高效性 。
01. DNS缓存污染
缓存虽然能够提高域名解析速度，但是也带来一定的安全性，如果有黑客通过恶意伪造身份、利用系统漏洞等方式，获取了Local DNS服务器的域名解析缓存记录的控制权，进而修改域名解析结果，把域名指往伪造的IP地址或者域名，伪造的IP地址既可以是无效的也可以是精心伪装的钓鱼网站 ， 从而实现窃取资料或者破坏原有正常服务的目的 。
这种恶意修改DNS服务器域名解析缓存记录的行为 ， 被称为DNS缓存污染，又称为DNS缓存投毒（DNS cache poisoning） 。
下图除了展示了Local DNS的某些缓存解析记录被污染，还包括权威服务器被DDOS攻击，分区记录被篡改，或者管理员配置失误 ， 导致域名解析错误，这些错误也可能会被传染到到Local DNS服务器的缓存 。
02. DNS缓存生存期（TTL）
TTL，指域名解析记录在DNS服务器中的存留时间，目前超过六成的顶级域名的 TTL 值被设定在一天以上 。
在生存期内，虚假的域名解析结果保存在缓存中 ， 除非经过了大于一个TTL的时间，或者经手工刷新DNS缓存 ， 虚假的记录会一直存在下去，并且受污染的DNS服务器，还具有传染性 。
DNS污染具有暂时性，过了TTL周期 ， 如果不进行再污染，污染就会消失 。
03. DNS安全形势
* 域名解析是互联网的基石 ， 一旦解析错误，造成的后果极其严重；
案例1：2009年巴西最大银行Bandesco ， 曾遭受DNS缓存病毒攻击，成为震惊全球的“银行劫持案” ， 1%用户被钓鱼；
案例2：2010年1月，百度被自称是伊朗网军Iranian Cyber Army的黑客组织入侵，导致网民无法正常登陆百度网站达8小时；
案例3：2015年4月，联想集团海外网站DNS解析异常，导致海外业务访问受阻长达5小时；
案例4：2018年1月14日，黑客劫持了BlackWallet.com的DNS服务器，并从用户帐户中窃取了超过40万美元 。
04. DNS缓存污染解决方案
一般来说，普通用户可以通过手动更换 DNS 服务器为 公共DNS 解决 。
公共DNS 是一种面向大众的免费的 DNS 互联网基础服务可以在一定程度上加快域名解析速度、防止 DNS劫持、加强上网安全 ， 还可以屏蔽大部分运营商的广告 。
【《云端架构之道》：DNS缓存污染与“域名无忧”服务】下面列出几个目前常用的 公共DNS 服务器地址：
对于大客户来说，一般不会选用更换公共DNS的办法，因为即使是公共DNS，也不能保证不出现DNS安全问题，而且没有SLA保证 。通常会选择商用的DNS安全防护服务 。
比如像中国电信构建的分布式的DNS网络，在全国各个城市都有DNS服务器，而且一般都是采用高可用 ， 多DNS服务器的方式 。其安全性和性能要高于普通的公共DNS服务器 。基于电信的DNS网络，天翼云提供了“域名无忧”的云服务 。主要是解决DNS 缓存污染带来的安全问题 。其特点如下：
1、快速实现电信全网DNS与源站权威DNS的数据同步；
2、探针主动监测，覆盖电信31?。?一旦发现域名异常，快速告警（短信、微信、自服务等）；
3、秒级修复，不受限于TTL，DNS缓存秒级刷新，不过目前只能针对电信的DNS服务器 。
以上就是朝夕生活（www.30zx.com）关于“《云端架构之道》：DNS缓存污染与“域名无忧”服务”的详细内容，希望对大家有所帮助！

猜你喜欢

• 掌握这些DNS解析故障问题，面试轻松搞定
• 什么是DNS污染，和DNS劫持有什么区别？
• 域名被污染解决方法及DNS污染清洗方法
• 域名dns污染，如何防治？
• 十大奢侈手表品牌：芝柏上榜，第十运用于航空领域
• 微信解炸神器软件下载
• 中国十大平衡车品牌排行榜：傲风上榜，乐行天下第二
• 面对“微信群炸弹”，我们应如何避免与处理
• 网站被劫持？你该这样做