如何防止DNS汙染？

當然這無法解決所有問題，當一些無法訪問的網站本身並不是由DNS汙染問題導致的時候，還是需要使用代理伺服器或VPN才能訪問的。

DNS汙染的資料包並不是在網路資料包經過的路由器上，而是在其旁路產生的。所以DNS汙染並無法阻止正確的DNS解析結果返回，但由於旁路產生的資料包發回的速度較國外DNS伺服器發回的快，作業系統認為第一個收到的資料包就是返回結果，從而忽略其後收到的資料包，從而使得DNS汙染得逞。

而某些國家的DNS汙染在一段時期內的汙染IP卻是固定不變的，從而可以忽略返回結果是這些IP地址的資料包，直接解決DNS汙染的問題。 DNS汙染驗證方法

我們在命令列下透過這樣一條命令：

nslookup 域名 144.223.234.234，即可判斷該域名是否被汙染，由於144.223.234.234不存在，理應沒有任何返回。但我們卻得到了一個錯誤的IP（不確定）。即可證明這個域名已經被DNS汙染了。

DNS汙染解決方法

1、使用各種SSH加密代理，在加密代理裡進行遠端DNS解析，或者使用VPN上網。

2、修改hosts檔案，作業系統中Hosts檔案的許可權優先順序高於DNS伺服器，作業系統在訪問某個域名時，會先檢測HOSTS檔案，然後再查詢DNS伺服器。可以在hosts新增受到汙染的DNS地址來解決DNS汙染和DNS劫持。

3、透過一些軟體程式設計處理，可以直接忽略返回結果是虛假IP地址的資料包，直接解決DNS汙染的問題。

4、如果你是Firefox only使用者，並且只用Firefox，又懶得折騰，直接開啟Firefox的遠端DNS解析就行了。在位址列中輸入：

about:config

找到network.proxy.socks_remote_dns一項改成true。

5、使用DNSCrypt軟體，此軟體與使用的OpenDNS直接建立相對安全的TCP連線並加密請求資料，從而不會被汙染。

防護DNS汙染其實也是web安全裡很重要的一環，不僅僅是我們網站的DNS伺服器需要保護，網站本身也是需要防護的，我們在選購安全產品時國內的市場如此之大，我們需要怎麼避免踩坑呢，首先大廠的權威性肯定是不可磨滅的，像 阿里雲cloud.tencent.com 騰訊雲這樣的服務商都是可以在不差預算的時候直接選擇的，當然如果預算並不充裕也可以考慮中小企業都青睞的 咖啡雲。