一、什么是DNS污染？

DNS污染又称域名服务缓存投毒，是指通过制作域名服务数据包，将域名指向不正确的IP地址。在正常的DNS解析过程中，下一级域名服务器会将从上游域名服务器获得的解析记录保存一段时间，当在TTL值失效之前，有相同域名的解析请求时，就会直接将解析记录告知客户端，而无需进行全球范围的递归查询，这样既加快了查询时间，同时也降低了服务器工作压力。

但在这个过程中，如果局域域名服务器的缓存受到污染，就会告知客户端错误的解析记录，从而将用户指向错误的网站。这种攻击方式，被称为DNS污染。

二、DNS污染的常见场景

许多国内被禁止的网站都是通过DNS污染实现的，如google、YouTube等网站无法直接访问都是通过DNS污染方式实现的。

因为谷歌的服务器在国外，所以在访问时DNS解析必须转到国际带宽的输出，然后会被GFW捕获。由于DNS使用UDP协议，而UDP没有验证机制，只需发送即可。因此，此时GFW伪装成一个相应的DNS服务器，就会返回错误的地址信息。

三、DNS污染如何应对？

解决方案1：需要能够替换DNS解析服务器。通常，域名注册企业提供免费的DNS解析服务。域名提供商可以提供许多免费的DNS解析服务，并且其解析速度非常快，多组DNS服务器，可以更好地避免被DNS污染。

中科三方云解析采用最新的分布式云架构，支持高防DNS，可提供超百G防护流量、1T+DDOS攻击保护和5.6亿+QPS查询防护，有效降低DNS劫持、DNS污染等攻击给运营商带来的损失。

解决方案2：使用第三方DNS解析服务，以及使用CDN服务，CDN服务商会提供他们的DNS服务器解析服务和CDN的网络IP地址。