|
传统的DSN解析会有一些问题,比如:。
域名缓存问题本地做一个缓存,直接返回缓存数据,可能会导致全局负载均衡失败,因为上次进行的缓存,不一定是这次离客户最域名污染近的地方,可能会绕远路。 域名转发问题如果是A运营商将解析的请求转发给B运营商,B去权威DNS服务器查询的话,权威服务器会认为你是B运营商的,就返回了B域名清洗运营商的网站地址,结果每次都会跨运营商。 出口NAT问题做了网络地址转化后,权威的DNS服务器,没法通过地址来判断客户到底是哪个运营商,极有可能误判运营域名dns清洗商,导致跨运营商访问。 域名更新问题本地DNS服务器是由不同地区,不同运营商独立部署的,对域名解析缓存的处理上,有区别,有的会偷懒忽略解析结果TTL的时域名污染查询间限制,导致服务器没有更新新的ip而是指向旧的ip。 解析延迟DNS的查询过程需要递归遍历多个DNS服务器,才能获得最终结果,可能会带来一定的延时。 域名被墙查询域名劫持DNS域名解析服务器有可能会被劫持,或者被伪造,那么正常的访问就会被解析到错误的地址。 不可靠由于DNS解析是运行在UDP协议之上的,而UDP我域名劫持查询之前也说过是一种不可靠的协议,他的优势在于实时性,但是有丢包的可能。 其实,DNS劫持并不是什么新鲜事物,也并非无法预防,百度被黑事件的发生再次揭示了全域名污染清洗球DNS体系的脆弱性,并说明互联网厂商如果仅有针对自身信息系统的安全预案,就不足以快速应对全面而复杂的威胁,因此,互联网公司应采取以下措施:。 1,污染劫持处理互联网公司准备两个以上的域名,一旦黑客进行DNS攻击,用户还可以访问另一个域名。 2,互联网应该对应急预案进行进一步修正,强化对域名服务商的协调流程。 3,域名被墙处理域名注册商和代理机构特定时期可能成为集中攻击目标,需要加以防范。 4,国内有关机构之间应该快速建立与境外有关机构的协调和沟通,协助国内企业实现对此事件的快速及时的处理。 DNSQX.COM—DNS安全服务商,一站式域名污染检测,高防CDN,免备案CDN,域名被墙检测,域名污染查询,域名被墙查询,dns污染检测,dns污染查询,dns劫持查询,五年域名污染处理经验,一小时极速恢复98%地区用户访问,先测后买,免费试用,https://www.dnsqx.com/。 |
