当前位置 主页 > 本站WEB程序 > 安全 > IIS7网站监控 > 最大化 缩小

    不被劫持的dns,DNS反劫持的几种方式

    栏目:IIS7网站监控 时间:2020-11-21 14:45

         DNS劫持,劫持单条DNS查询信息,返回不正确的结果。透明DNS代理劫持所有查询信息,只要是经过运营商网关的发往53端口的UDP类型的DNS协议,全部都转移到自己DNS服务器上去,所以在本机上设置是没用的。即使在内部网络中部署了DNS服务器也只可以起到加速作用,依然无法反劫持。因为内网中的DNS服务器向上级DNS服务器请求时的数据同样会被透明DNS代理劫持到ISP的DNS上,内部DNS服务器缓存的数据依然是被污染过的。
         如果想突破这种劫持有三种方式, 这三种方式,都需要在本机对DNS请求数据进行预处理,所以本机都需要部署处理程序,同时将本地DNS设置为127.0.0.1。
    1、使用DNS协议的TCP形式。
         按照约定,DNS服务器都要同时实现TCP形式的DNS协议处理.这样一来,只需要在本地把UDP形式的协议转换为TCP形式就可以了。
    2、使用加密软件对DNS请求和回复数据进行加密。
         这种方式的弊端是,既然内部有加密,外部必须有一个相应的解密工具.对个人来说,外部还需要部署一套专门的解密工具,需要VPS,代价有点大。.
    3、使用其他端口。
         没有具体试用,没找到现成的工具.这种方式,需要本地转发DNS请求到指定端口,然后还需要在外网部署使用特定端口的DNS服务器.同样需要一台VPS.