常见的3种DNS欺骗手法及防御方法

DNS欺骗即域名信息欺骗，是最常见的DNS安全问题。当一个DNS服务器掉入陷阱，使用了来自一个恶意DNS服务器的错误信息，那么该DNS服务器就被欺骗了。

那么，如何防御DNS陷阱？下面为大家总结下，常见的3种DNS欺骗手法。

01

避免不可靠的解析器

网络可以逃避提供不可靠的解决方案，窃取您的数据或欺骗DNS，因为很少有用户知道风险或如何保护自己。

即使对于了解风险的用户，个人用户也很难与他们的ISP或其他实体进行协商，以确保他们的DNS数据得到负责任的处理。

寻找一个合适的解析器，如果我们有一个可以信赖的解决方案来保护用户的隐私。这意味着Firefox可以忽略网络提供的解析器。安全研究人员表示，有了这个可靠的解析器，我们不必担心流氓解析器出售我们的用户数据或用欺骗性DNS欺骗我们的用户。

2

通过HTTPS使用DNS防止路径窃听和篡改

虽然解析器不是唯一的威胁。路径上路由器可以跟踪和欺骗DNS，因为他们可以看到DNS请求和响应的内容。但是互联网已经有了确保路径上路由器不能像这样窃听的技术。这是我之前提到的加密技术。

通过使用HTTPS交换DNS数据包，我们确保没有人能够监视我们用户正在做出的DNS请求。传输尽可能少的数据，以保护用户免受匿名处理。除了提供使用DoH协议进行通信的可信解析器之外，寻找安全DNS服务商，使其更安全。

通常情况下，解析器会将整个域名发送给每个服务器-根DNS，TLD名称服务器，二级名称服务器等。好的DNS服务商。它只会发送与当前正在与之通话的DNS服务器相关的部分。这被称为QNAME最小化。

3

删除域名中没用的解析

解析器通常也会在请求中包含您的IP地址的前24位。这有助于DNS服务器知道您的位置，并选择离您更近的CDN。但是这些信息可以被DNS服务器用来将不同的请求链接在一起。

一些稳定的DNS服务商，是从用户附近的一个IP地址发出请求。这提供了地理位置，而无需将其绑定到特定用户。除此之外，他们正在研究如何以隐私敏感的方式实现更好，形成非常细粒度的负载平衡。

这样做，删除域名中不相关的部分并且不包括您的IP地址，意味着DNS服务器所收集的关于您的数据要少得多，从而更好保护你的隐私。

备注：本篇文章收集的图文资料均来自于网络，版权归原创作者和企业所有，所有资源仅供私下交流学习使用，任何涉及到商业目的的均不能使用。