域名劫持、域名欺騙、域名污染是什么意思？DNS是啥？

2020-10-24 11:52:22

字體：大中小

來源：轉載

供稿：網友

一、DNS 是啥？

DNS 是洋文“Domain Name System”的縮寫，直譯過來就是“域名系統”。

二、DNS 有啥用？

咱們每天打交道的這個互聯網，其底層的基石是“IP”。IP 是“Internet Protocol”的縮寫，中文就“互聯網協議”（光看名字就知道這玩意兒很重要）。咱們日常用的那些互聯網軟件（瀏覽器、聊天工具、下載工具、等等）在工作時，必須依靠【IP地址】才能進行網絡數據傳輸。

“IP地址”是設計給軟件用滴——雖然軟件很容易處理，但對于人類而言，卻很難記憶。于是，后來又發明了 DNS。有了 DNS，人類就不需要記住長長的一串 IP地址，而只需記住“域名”（域名通常更短，也更具有可讀性，例如www.g.cn）。

比如你上網的時候，只需在地址欄輸入網站的“域名”，而不用輸入網站的“IP地址”。然后電腦系統會利用 DNS 來把“域名”翻譯成“IP地址”。這個翻譯的過程術語叫“域名解析/DNS解析”。

三、域名的結構是咋樣？

域名是按照“樹形結構”組織的。不懂得啥是“樹形結構”的同學，可以對照一下電腦硬盤上的目錄結構。域名的結構和目錄結構很類似，目錄結構是用“斜杠”作分隔符，而域名是用小數點作分隔符。兩者的主要區別在于：目錄結構名稱的形式是從左到右（上級在左，下級在右），而域名是從右到左（上級在右，下級在左）。

以網易的域名為例：

3g.163.com 的上級域名是 .163.com

163.com 的上級域名是 .com

這里的 .com 就被稱為頂級域名（Top-Level Domain，簡稱 TLD），跟 .com 類似的那些 .net .org .gov 也是頂級域名。還有那些以國家/地區的代碼命名的（比如 .cn .tw .hk .jp 等等）也是頂級域名。

四、“域名解析”是咋實現？

如果你曾經配置過電腦的網卡，應該記得上面除了有IP地址、掩碼等設置，還有一項設置是“DNS服務器/域名服務器”。這項設置就是用來幫助你的電腦進行域名解析的。你可以把這個“DNS服務器”想象成114查號臺。每當電腦需要翻譯某個域名，就找這個域名服務器查詢，然后域名服務器會告訴你的電腦，要查詢的域名對應的IP地址是啥。

下面簡單說一下，你的電腦進行域名解析的過程。

為了敘述方便，以網易為例。當你在瀏覽器的地址欄中輸入 www.163.com，然后敲回車，這時候電腦軟件會進行如下一系列事情。

1. 首先根據輸入的網址，提取出域名（

2. 如果你在系統中配置了 Hosts 文件，那么電腦會先查詢 Hosts 文件，看這個www.163.com 否已經在 Hosts 里面有了對應的記錄。如果有，直接就可以拿到該記錄中的 IP地址，過程就結束了。

3. 如果 Hosts 里面沒有這個別名，那么電腦會看你有沒有設置域名服務器（DNS 服務器）。如果你的系統沒有設置域名服務器，那電腦就沒轍了，瀏覽器直接會報錯，說網站的域名無法解析。過程就結束了。

4. 如果你設置過“域名服務器”，那么電腦會向這個域名服務器發送一個域名查詢（DNS query）的請求，然后等候域名服務器的回應。

5. 如果域名服務器始終沒有回應（比如域名服務器掛了，或域名服務器的IP填錯了，或請求被攔截了），那么電腦還是沒轍（瀏覽器會報錯）。

6. 如果域名服務器回應了，那么你的電腦就可以根據域名服務器的應答信息，得到該域名的 IP地址。之后瀏覽器就會向這個 IP地址對應的 Web 端口發送 HTTP 請求。

通常情況下，電腦拿到的（DNS服務器）應答信息是正確的——也就是說，應答中的 IP地址確實對應那個域名——這種情況下，你的網絡軟件就可以正常工作了。

但是在某些國家，例如CHAOXIAN,電腦拿到的 DNS 應答有可能是【錯的】。為啥會這樣捏，本文的后半部，俺會介紹一下“域名劫持”和“域名污染”。

五、域名服務器如何知道這些信息？

（一）域名的緩存

大伙兒平時使用的域名服務器，技術術語叫“遞歸域名服務器”。“遞歸服務器”是面向普通網友的。剛才介紹“域名解析”的時候提到的服務器就是“遞歸服務器”。

“遞歸服務器”的內部通常會有一個 DNS記錄的緩存——這個緩存是為了提高查詢效率的。當某臺電腦向遞歸服務器發起域名查詢時，遞歸服務器首先看自己的緩存中有沒有該域名的記錄，如果有，直接就回復該記錄給查詢的電腦。

萬一對方想要查詢的域名沒找到，咋辦捏？這時候就要進行緩存的同步。

（二）緩存的同步

下面就拿網易的域名為例，說說這種情況的處理流程。

1. 對方查詢3g.163.com 這個域名，“遞歸服務器”發現自己的緩存中沒有

2. “遞歸服務器”會先去找“根域名服務器”幫忙，“根服務器”會告訴“遞歸服務器”說：這個域名屬于 com 這個分支之下，你去找 com 這個域名的“權威服務器”，這個權威服務器的 IP地址是 xxx。

3. 然后“遞歸服務器”根據拿到的這個 xxx地址，又去找“com 域名的權威服務器”。“com 域名的權威服務器”告訴它：你應該去找“163.com 域名的權威服務器”，這個權威服務器的 IP地址是 yyy

4. 然后“遞歸服務器”又屁顛屁顛地去找“163.com 域名的權威服務器”。這時候“163.com 域名的權威服務器”才會告訴它，3g.163.com 這個域名的 IP地址到底是多少。

大伙兒看到沒有？整個過程如同“踢皮球”，效率是很低的。所以俺前面提到，“遞歸域名服務器”必須得有一個緩存，以此來優化效率（不用每次查詢都來一次“踢皮球”）。

（三）同步的周期

說完了“域名的同步”，順便提一下“同步的周期”。

因為互聯網上的域名信息是有可能發生變化的。比如增加了某個新域名，注銷了某個舊域名，或者某個域名對應的 IP地址變了。所以，“遞歸服務器”上保留的緩存中，每一條域名記錄都有一個生命周期（可能是幾分鐘，也可能是幾小時）。如果某條記錄的生命周期過了，就會被刪除，然后重新同步。

六、啥是“域名劫持”？

剛才說了，域名服務器上都會保存一大堆的域名記錄（每條記錄包含“域名”和“IP地址”）。當收到域名查詢的時候，域名服務器會從這堆記錄中找到對方想要的，然后回應給對方。

如果域名服務器上的某條記錄被【人為修改】了（改成錯的），那么一旦要查詢這條記錄，得到的就是錯誤的結果。這種情況稱之為“域名劫持”。

★誰有“域名劫持”的企圖？

“域名劫持”通常是電信運營商（ISP）干的好事兒。很多寬帶用戶用的域名服務器就是 ISP 提供給你的。

舉例：

前幾年曾經出現過：某個 ISP 跟某網站勾結，把維基百科的流量重定向到XX。具體搞法是：該 ISP 篡改自己的域名服務器的記錄，把里面跟維基百科相關的域名記錄的 IP地址修改為XX的 IP地址。如此一來，假設你用的是這個 ISP 的域名服務器，當你在瀏覽器輸入 http://zh.wikipedia.org/的時候，你的電腦查詢到的 IP地址其實是XX的 IP地址，所以瀏覽器打開的是“XX”的主頁。

★如何對付“域名劫持”？

剛才說了，“域名劫持”的根源在于：域名服務器上的記錄被人給改了。要對付這種耍流氓，最直接的辦法就是不要使用這種流氓 ISP 提供的域名服務器，改用國外那些比較靠譜的。目前口碑最好的，大概是 Google 提供的兩個域名服務器，IP地址分別是 8.8.8.8 和 8.8.4.4 ——這倆不光是地址好記，更重要的是，不會耍流氓。

七、啥是“域名污染”？

先提醒一下：“域名污染”這個詞還有其它幾個別名，分別是“域名欺騙”、“域名緩存投毒”（洋文叫：DNS cache poisoning）。今后看到這幾個別名，要曉得是同一個意思。

“域名污染”的原理，簡單說來是這樣滴：當你的電腦向域名服務器發送了“域名查詢”的請求，然后域名服務器把回應發送給你的電腦，這之間是有一個時間差的。如果某個攻擊者能夠在域名服務器的“DNS應答”還沒有到達你的電腦之前，先偽造一個錯誤的“DNS應答”發給你電腦。那么你的電腦收到的就是錯誤的信息，并得到一個錯誤的 IP地址。

★誰有“域名污染”的企圖？

從技術上講，只要攻擊者能夠位于“你”和“域名服務器”的傳輸線路中間，那么攻擊者就有機會搞“域名污染”。能夠做到這點的，可能是一個黑客/駭客，也可能是 ISP。

★某國家防火墻的兩種“域名污染”

剛才俺解釋了“域名污染”的原理，那種形式不妨稱為“直接污染”。由于某國家防火墻的特殊性，它不但可以做到“直接污染”，還可以做到“間接污染”。而普通的駭客頂多只能做到“直接污染”，難以做到“大范圍的間接污染”。

那么這兩種污染有啥區別捏？且聽俺細細道來。

◇某國家防火墻部署在哪？

首先有必要先掃盲一下“某國家防火墻（其實是一種IDS，也就是入侵檢測系統）的部署位置”。X國互聯網只有少數幾個國際出口（名氣較大的是：A出口、B出口、C出口）。如果你要訪問國外網站，你的網絡數據流就必定會經過其中的某個“國際出口”。

◇某國家防火墻的直接污染

因為某國家防火墻部署在國際出口。如果你用的是【國外的】域名服務器，你的“DNS請求”必定會經過國際出口；同樣，域名服務器的“DNS應答”必定也會經過國際出口才能到你的電腦。這一來一回就給某國家防火墻提供了機會。

這種污染就是俺所說的“直接污染”。

◇某國家防火墻的間接污染

剛才介紹了“使用國外域名服務器會被直接污染”。那如果你用的是【國內的】域名服務器捏？就會被“間接污染”。過程如下：