网工应用层：DNS及相关使用问题

DNS的执行原理

  
首先，让我们来回顾一下DNS的执行原理。
DNS的执行原理即是IP和域名的相互解释（映射），从而使得互联网的大规模民用成为可能。举个栗子，我们通查上百度的时候大多数人并不会直接发送访问IP地址的请求，而是记住了百度的域名www.baidu.com，回车键发送了访问请求。但网关是不认字的，这也就是说，发送数据的过程中有一个进程为我们将域名转换为了IP地址。
是的，这就是DNS(Domain Name System)服务器在帮我们这个忙————
DNS服务器分布于全球，美国的DNS服务器有ISPs此类的机关维护，中国服务器亦有运营商维护。当我们向外网发送了封装了域名的数据包之后，DNS系统便会帮我们查询其对应IP：
它首先检查浏览器DNS缓存和操作系统缓存列表（可通过cmd的ipconfig和displaydns命名查询）中是否存在对应网站的IP，若发现有则直接响应，若没有，浏览器即构建一条DNS查询的应用层数据包，通过默认端口53和DNS默认的传输方式UDP传输到下一层，网络层封装源IP和本机电脑配置的DNS服务器（目标IP），物理接口层封装MAC地址从网口发送数据。
数据来到路由器，路由器获取到数据包目标IP即是自己（网关兼任DNS服务），马上查询缓存列表是否有百度的IP地址。若没有，路由器即构建一个应用层数据包，查询baidu.com的IP地址，目标IP即为路由器配置的上游DNS服务器.上游DNS接续查询自己的缓存列表，若没有则一步步上溯（迭代查询），直到在某个服务器中查询到为止。
DNS服务器对转发有一定的规则，最简单的，假如服务器没有配置DNS转发，就不会转发DNS请求。其次，DNS对选择转发服务器有负载均衡的需求，所以这一复杂的部分还亟待读者自行探求.
  
DNS泄露的原因

  
简而言之，DNS泄露就是当我们使用代理服务器访问互联网时，电脑给目标IP地址发送了明文DNS请求。所以我们需要检查一遍DNS服务器的缓存列表：
找到一个DNS服务器，打开其开发者面板，查看网络工具，发现网站在不停地发送请求。
这样做有什么目的？就是为了确保我们的DNS服务器和上游服务器缓存中都没有这一条记录。此时，浏览器中没有找到缓存，会构建查询域名IP的DNS请求，此时既然上游没有DNS缓存，那么自然是运营商的DNS来接收该请求。
运营商的DNS会交给多个不同的上游DNS服务器解析，最终交给权威DNS服务器。权威DNS的服务器设置了泛解析，查询任何子域名都可以查询到对应IP。
此时————权威服务器将结果返回给我们时，将你要找的IP和查询DNS的服务器记录了下来。每个人发起的请求中域名都不一样，一查就知道是你在用......
除此之外，权威DNS服务器还能获取到你的IP归属地，获取你所使用的下游DNS的IP地址。假设你使用了任播DNS，但上游DNS仍取决于该任播DNS的IP属地，假如是美国的，就会泄露该美国上游DNS服务器的IP，中国的则会泄露该中国运营商的DNS的IP。
  
接入代理后DNS泄露的隐患

  
接入代理后，电脑浏览器不再构建DNS查询请求，直接把我们访问某网站的请求交给代理客户端。此时代理客户端有两种处理你访问网站的请求的方式。
第一种是安全的。不发起DNS请求判断直连还是代理访问，也就是白名单。
第二种是不安全的。代理服务端发起DNS请求，再获取IP，再判断是否直连或代理。显然，第一种要比第二种更加智能也更加安全。并且可以注意到，DNS泄露的根本原因就在于是否发起了DNS请求，若如此做，泄露的概率极大：你拿到了某网站的IP，马上给其他服务器发送加密数据，这样，你加不加密都知道你加密的是啥了~
请注意外国任播DNS服务是不能防止DNS泄露的，因为这条DNS请求完全明文，并未加密（可用DoT或DoH进行加密，或远程DNS，这些配置有些服务器供应商是提供的），这种明文是极好获取的，会发生什么不用说了吧~
  
DNS污染原理

  
DNS污染全称网域服务器缓存污染（DNS cache pollution）或域名服务器缓存投毒（DNS cache poisoning）,即是（黑客）通过制造一些域名服务器数据包等手段把域名指向不正确的IP地址，这样当用户访问该域名时会转到不正确的IP地址，从而窃取用户信息、资料或破坏正常服务。
黑客常利用UDP是无连接不可靠的协议这一点，对UDP53端口的DNS查询进行入侵检测（关键字匹配），一旦匹配上，黑客服务器立即伪装成目标域名的解析服务器，篡改返回结果。这一过程其实很好操纵，因为DNS请求本身非常好修改。有时有一些网站上不去，就是可以通过关键字匹配你的请求将返回IP改成127.0.0.1，达到干扰目的。
  
应对DNS污染

  
1.使用SSH加密代理，远程DNS解析，VPN。
2.修改Hosts文件，操作系统中Hosts文件权限高于DNS服务器，于是访问前优先检测Hosts文件，再查询DNS。在Hosts文件中添加DNS污染地址可以解决。
3.浏览器（软件）直接忽略返回结果是虚假IP地址的数据包（需要一些软件商提供服务）。
4.DNSCrypt或其他软件提供可靠TCP连接。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！