域名解析错误DNS异常_OpenDNS不能解决DNS域名解析错误

我之前写过一篇《利用它解决DNS域名劫持》的文章，经过进一步的测试和使用，发现使用它并不能解决所有国外网站的域名解析错误。当目标域名同时被DNS（Name）劫持和关键字过滤时，解析结果会在中间受到污染。只有利用域名远程解析，才能彻底解决DNS劫持问题。

我测试的方式是在国内网络上使用，然后登录我在国外的一台服务器，同时执行一个专门网站上的命令。（该命令的作用是查询某台机器的 IP 地址和其对应的域名，通常需要域名服务器提供域名服务，如果用户搭建了域名服务器，可以用该命令查看不同主机的 IP 地址对应的域名）

我在中国使用之后的结果如下图所示：

使用国外服务器之后得到的结果如下图所示：

从上面两张图我们可以看出，当目标域名同时被DNS劫持和关键字过滤时，同一个域名地址在国内和国外使用时会解析出不同的IP地址。因此可以得出结论，即使在国内使用国外域名，对于一些“特定”的域名，也无法解析出正确的域名IP地址，DNS解析的结果仍然受电信控制。

但是我们可以手动修改本地hosts文件，或者远程解析DNS来解决这个错误的域名解析。为什么需要远程解析呢？这就涉及到DNS污染技术了。

DNS污染是一种通过得到假的目标主机IP，使普通用户无法与目标主机进行通信的方法，是一种DNS缓存投毒攻击（DNS缓存）。其工作原理是：利用UDP 53端口上的DNS查询进行入侵检测，一旦发现与关键字匹配的请求，立即伪装成目标域名的解析服务器（NS，Name），并返回错误的结果给查询者。由于普通的DNS查询没有任何认证机制，并且DNS查询通常基于UDP这种无连接、不可靠的协议，因此查询者只能接受第一个到达的格式正确的结果，而丢弃后续的结果。对于不了解相关知识的网民来说，它就是指系统默认使用的ISP提供的NS在向国外权威服务器查询时被劫持，其缓存被污染。因此，默认情况下，向该ISP服务器查询会获得一个虚假的IP； 而用户比如直接查询海外的NS，可能会被劫持，没有防范机制就无法获取正确的IP。

在中，设置远程DNS解析很简单，只需要在about:中将其改为.proxy.=true即可。对于IE或其他用户，需要安装一个叫remot的软件，然后选择所有名称。

更新：目前已经发布了一个可加密 DNS 流量的本机客户端工具，因此使用它可以解决 DNS 污染问题。

（）（）