DNS污染也是域名服务器缓存无人,是一种向DNS缓存注入虚假内容,让用户请求的域名解析成攻击者控制IP地址实现网络攻击的方式。DNS查询是没有任何认证机制,DNS查询一般都是通过UDP是无连接不可靠协议。总之,DNS查询易被篡改,利用对UDP端口53上DNS查询进行入侵检查,发现和关键词匹配请求就会立即伪装成目标域名解析的服务器给查询者返回错误结果。
HTTPS本身不支持直接抵御DNS污染,但是能提供额外安全层,保证数据传输过程中的安全。HTTPS加密主要是客户端和服务器之间通信,可以保证传输数据的完整和安全。DNS污染会破坏网络连通性、导致隐私泄露、出现网络钓鱼、带来经济损失、出现网络安全威胁等危害。为防止DNS污染的发生,可以采取DNS加密技术,如DNS over HTTPS (DoH)和DNS over TLS (DoT)。DNS over HTTPS (DoH)通过HTTPS协议加密DNS查询,防止中间人攻击和篡改。许多现代浏览器和操作系统都支持DoH,用户可以通过设置来启用它。DNS over TLS (DoT)是通过TLS协议加密DNS查询,当下不少公共DNS服务器可支持DNS over TLS (DoT)。
建议选择更安全的DNS服务器,知名可靠的DNS服务器又更高的安全性和稳定性,能有效的抵御DNS污染攻击。更换DNS服务器后,要清楚本地DNS缓存,确保被污染DNS记录不再使用。不同操作系统清理缓存的方法不一样,windows中可以使用:
ipconfig /flushdns
可以通过HTTPS加密连接,HTTPS不支持阻止DNS污染发生,但是可以保证客户端和服务器通信的数据传输安全。特别是敏感信息或重要交易,使用HTTPS协议非常有必要。虚拟专用网络也可以实现加密隧道传输避开DNS污染。选择靠谱服务商保证隐私和安全性。
需要定期更新操作系统,保证系统和软件已修复已知漏洞,提高安全性,下载安装安全软件还可以用检测和清除潜在恶意软件。