DNS 是互联网的"电话簿"——你输入域名,DNS 服务器告诉你对应的 IP 地址。但如果这个"电话簿"被篡改了呢?你查到的号码不是正确的号码,自然就联系不上对方了。这就是 DNS 污染。本文将详细讲解 DNS 污染的原理、检测方法,以及如何利用在线工具进行排查。
一、DNS 解析的基本流程
在了解 DNS 污染之前,先简单回顾一下正常的 DNS 解析过程。
当你在浏览器中输入 www.example.com 并按下回车时,会发生以下过程:
首先,你的电脑会检查本地 DNS 缓存,看之前有没有查过这个域名。如果缓存中没有,会向你电脑配置的 DNS 服务器(通常是运营商的 DNS 或你手动设置的公共 DNS,如 114.114.114.114 或 8.8.8.8)发送查询请求。
如果这个 DNS 服务器自己也没有缓存,它会代替你去一步步查询:先问根域名服务器 .com 的权威服务器在哪,然后问 .com 的权威服务器 example.com 的权威服务器在哪,最后问 example.com 的权威服务器 www.example.com 的 IP 是什么。
这个过程叫做"递归查询"。最终你的电脑拿到了域名对应的 IP 地址,浏览器就可以向这个 IP 发起 HTTP 请求了。
整个 DNS 查询过程默认使用 UDP 协议的 53 端口,数据以明文传输,没有任何加密或验证机制。这就给了中间人篡改的机会。
二、什么是 DNS 污染
DNS 污染(DNS Poisoning / DNS Spoofing)是一种网络干扰手段,通过在 DNS 查询过程中注入虚假的响应,让用户获得错误的 IP 地址。
具体来说,当你向 DNS 服务器查询某个域名时,正常情况下需要等待 DNS 服务器去查找并返回正确结果。但如果在 DNS 查询数据包经过网络的过程中,有中间设备检测到你查询的是某个被标记的域名,它会抢先伪造一个 DNS 响应包发回给你,里面包含一个错误的 IP 地址。因为这个伪造的响应比真正的响应先到达你的电脑,你的电脑就会采用这个错误的结果。
被污染后的典型表现:
网站完全无法访问:域名被解析到一个不存在的 IP 或一个无法提供服务的 IP,浏览器显示连接超时或无法找到服务器。
跳转到错误页面:域名被解析到一个警告页面或其他不相关的网站。
只在国内无法访问,国外正常:因为 DNS 污染通常发生在国际出口环节,海外用户的 DNS 查询不经过这些设备,所以不受影响。
三、DNS 污染与 DNS 劫持的区别
很多人会混淆 DNS 污染和 DNS 劫持,它们虽然效果相似,但机制不同:
DNS 劫持:你的 DNS 服务器本身被攻击或被替换了。比如运营商的 DNS 服务器直接返回错误的结果,或者你的路由器被恶意软件修改了 DNS 设置。劫持发生在 DNS 服务器端。
DNS 污染:你使用的 DNS 服务器是正常的,但在查询数据包传输的过程中,中间网络设备注入了伪造的响应。污染发生在网络传输层面。
区分的方法也很简单:如果你更换了 DNS 服务器(比如从运营商 DNS 换到 8.8.8.8)后问题解决了,那大概率是 DNS 劫持。如果换了 DNS 服务器还是得到错误结果,那很可能是 DNS 污染——因为不管你查哪个 DNS 服务器,查询数据包都要经过同样的网络路径,都会被注入伪造响应。
四、如何检测 DNS 污染
4.1 使用 Biuping DNS 查询工具
最直观的检测方法是对比同一个域名在不同 DNS 服务器上的解析结果。
打开 Biuping DNS 查询工具,输入你怀疑被污染的域名,选择查询 A 记录(域名对应的 IPv4 地址)。
工具会同时从多个 DNS 服务器查询结果,包括国内运营商的 DNS 和海外的公共 DNS。你需要对比分析以下内容:
国内外结果是否一致:如果国内 DNS 服务器返回的 IP 与海外 DNS 返回的 IP 完全不同,且国内返回的 IP 无法正常访问,那就高度怀疑是 DNS 污染。
国内各运营商结果是否一致:正常情况下,不同运营商的 DNS 对同一个域名的解析结果应该相同(除非使用了 CDN 按地域分配不同 IP)。如果结果混乱,部分返回正确 IP、部分返回错误 IP,可能是污染的范围还没有完全覆盖。
注意 CDN 的干扰:使用了 CDN 的域名在不同地区确实会解析到不同的 IP(CDN 的边缘节点 IP),这是正常行为。判断是否被污染,关键看返回的 IP 是否属于合理的 CDN 服务商,而不是一些明显无关的 IP。
4.2 手动对比查询
除了使用在线工具,你也可以在自己电脑上手动验证。
在命令行中执行以下命令,分别使用国内 DNS 和海外 DNS 查询同一个域名:
# 使用国内 DNS(114)查询
nslookup example.com 114.114.114.114
# 使用谷歌 DNS 查询
nslookup example.com 8.8.8.8
# 使用 Cloudflare DNS 查询
nslookup example.com 1.1.1.1如果三个结果一致,说明 DNS 解析正常。如果国内 DNS 返回的结果与海外不同,需要进一步判断是正常的 CDN 调度还是污染。
注意:如果 DNS 污染发生在国际出口,即使你在国内使用 8.8.8.8 查询,得到的结果也可能是被污染的——因为查询数据包要经过国际出口才能到达 8.8.8.8,中间可能被注入伪造响应。这种情况下,你需要在一台海外服务器上查询 8.8.8.8,对比两边的结果。
4.3 检查域名的真实 IP
如果你是域名的所有者,你当然知道域名应该解析到什么 IP。直接登录你的域名注册商或 DNS 服务商后台查看 DNS 记录就行。
如果你不是域名所有者,可以通过以下方式获取域名的"真实" IP 作为参考:在一台确认网络干净的海外服务器上做 DNS 查询,或者查看域名的 WHOIS 信息和历史解析记录。
4.4 结合 TCPing 交叉验证
确认了域名解析到的 IP 之后,可以用 Biuping TCPing 工具 直接测试这个 IP 的连通性。
如果域名解析得到了 IP 地址 A(你怀疑是被污染的错误 IP),用 TCPing 测试 A 的 80/443 端口。如果完全不通,进一步验证了这是一个无效 IP,域名确实被污染了。
同时,用正确的 IP 地址 B(从海外查询得到的)做 TCPing 测试。如果 B 从国内节点能正常连通,说明服务器本身没问题,问题纯粹出在 DNS 污染。但如果 B 从国内也不通,那可能是 IP 被封锁 + DNS 被污染的双重封锁。
五、DNS 污染的常见特征
经过大量案例总结,DNS 污染通常有以下特征,可以帮助你快速判断:
返回的 IP 具有明显的规律性:被污染的域名在国内查询时,经常会返回一些固定的"脏 IP"。这些 IP 可能属于某些知名网站(如 Facebook 的 IP),也可能是完全不存在的 IP。同一个域名在不同时间查询可能返回不同的脏 IP,但都不是正确的。
响应速度异常快:正常的 DNS 查询需要经过递归解析,至少需要几十毫秒。但伪造的 DNS 响应是由中间设备直接注入的,可能在几毫秒内就返回了。如果你发现某个域名的 DNS 查询响应速度异常快(比正常快很多),可能是被注入了伪造响应。
使用任何 DNS 服务器都得到错误结果:如前文所述,DNS 污染发生在网络传输层面。无论你使用 114.114.114.114、8.8.8.8 还是 1.1.1.1,只要查询数据包经过了污染设备,就会得到错误结果。而 DNS 劫持只影响特定的 DNS 服务器。
六、DNS 污染的应对方案
6.1 使用加密 DNS
传统的 DNS 查询使用明文 UDP,中间设备可以轻松读取和篡改。使用加密 DNS 协议可以防止污染:
DoH(DNS over HTTPS):通过 HTTPS 协议传输 DNS 查询,中间设备无法读取查询内容,也无法注入伪造响应。大多数现代浏览器(Chrome、Firefox、Edge)都支持 DoH,可以在设置中启用。
DoT(DNS over TLS):通过 TLS 加密的 TCP 连接传输 DNS 查询。Android 9 以上版本原生支持,可以在系统设置中配置"私密 DNS"。
但要注意,DoH/DoT 使用的端口(443/853)如果也被封锁,那就无法使用了。
6.2 使用 CDN
将域名接入 CDN 服务(如 Cloudflare),让域名解析到 CDN 的节点 IP。CDN 节点通常不会被封锁(因为大量正常网站也在使用同一个 CDN),即使原始服务器的 IP 被封了,用户也可以通过 CDN 节点正常访问。
6.3 更换域名
如果域名本身被标记为污染对象,且你无法通过技术手段绕过,更换一个新域名可能是最快的解决方案。
6.4 修改 Hosts 文件
在你自己的电脑上,可以通过修改 hosts 文件直接指定域名对应的 IP,绕过 DNS 查询。但这只能解决你自己的访问问题,无法帮助其他用户。而且如果 IP 本身也被封锁了,这个方法也无效。
七、预防 DNS 相关问题的建议
定期检查域名解析:作为站长,建议定期使用 Biuping DNS 查询工具 检查你的域名在各地的解析是否正常。及早发现问题才能及早处理。
使用 DNSSEC:DNSSEC(DNS Security Extensions)通过数字签名验证 DNS 响应的真实性。虽然它不能防止流量层面的 DNS 污染,但可以让客户端检测到响应是否被篡改,至少不会盲目信任错误的结果。
设置合理的 TTL:DNS 记录的 TTL(缓存时间)不宜设置得太长。如果你的域名解析被污染了,较短的 TTL 可以让修复措施更快生效。一般建议 TTL 设为 600 秒(10 分钟)到 3600 秒(1 小时)。
监控 DNS 解析变化:使用监控工具定期检查域名的解析结果,如果 IP 突然发生变化且不是你主动修改的,立刻排查是否被污染或劫持。
八、总结
DNS 污染是一种通过篡改 DNS 查询结果来阻止用户访问特定网站的技术手段。检测 DNS 污染的核心方法是对比同一域名在不同 DNS 服务器、不同网络环境下的解析结果。
通过 Biuping DNS 查询工具,你可以快速从多个 DNS 服务器查询域名记录并对比结果。再配合 Ping、TCPing、路由追踪 等工具进行交叉验证,就能准确判断域名是否被污染、IP 是否被封锁,并找到合适的应对方案。