如果你的域名DNS没做防护很容易被攻击者一击而中,首先我们得了解什么是DNS被污染!
“域名污染”又称“DNS污染”、“域名欺骗”、“域名缓存投毒”。“域名污染”简单说就是当电脑向域名服务器发送了“域名查询”的请求,然后域名服务器把回应发送给你的电脑,这之间是有一个时间差的。
如果某个攻击者能够在域名服务器的“DNS应答”还没有到达你的电脑之前,先伪造一个错误的“DNS应答”发给你电脑。那么你的电脑收到的就是错误的信息,并得到一个错误的IP地址。
对于域名污染预防每个站长都有着不同的方法,如https加密、dns加速、开启DNSSEC等,但是https加密和dns加速是没有预防功能的,只是某些公司为了赚钱,夸大宣传而已,真正可以预防域名污染的产品只有DNSSEC(域名系统安全扩展)。
我们一起看下阿里云对于DNSSEC的介绍,域名系统安全扩展(DNS Security Extensions),简称DNSSEC。开启DNSSEC,可有效防止DNS欺骗和缓存污染等攻击。它是通过数字签名来保证DNS应答报文的真实性和完整性,能够保护用户不被重定向到非预期地址。
可能一些网站已经开启了这个功能,但不是只开启了就行,还需要配置DS记录信息(如下图所示),复制DS记录信息如 Key Tag 、Algorithm、Digest Type、Digest,然后到域名注册商处增加一条DS记录。部分域名注册商不支持这个功能,不过没有关系,我们可以把域名转入阿里云即可配置。
你们以为这样就完事了?答案肯定不是的,还需要借助在线工具去检测有没有成功生效,测试工具地址是:https://dnsviz.net ,测试页面中如每一级都显示出了DS,且无红色报错框,说明已开启DS,并已生效。
还有一种方法就是使用Cloudflare,很多人都知道CF国外CDN,这个是国外免费的CDN,最大的好处就是免费抗CC各种攻击,还支持屏蔽国外IP访问,同时也支持DNS防止污染!
那么如何开启呢?
1、域名DNS服务器托管在Cloudflare;
2、在DNS标签下面找到DNSSEC,点击开启就行;
3、接下来的24小时内自动为您的域启用DNSSEC。
