域名污染

DNS 是域名系统 (Domain Name System) 的缩写。在Internet上域名与IP地址之间是一对一（或者多对一）的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 当用户在应用程序中输入DNS 名称时，DNS 服务可以将此名称解析为与之相关的其他信息，如 IP 地址。

域名服务器缓存污染（DNS cache poisoning），又名域名服务器高速缓存侵害（DNS cache pollution），是指一些刻意制造或无意中制造出来的域名服务器封包，把域名指往不正确的IP地址。一般来说，外间在互联网上一般都有可信赖的域名服务器，但为减免网络上的交通，一般的域名都会把外间的域名服务器数据暂存起来，待下次有其他机器要求解析域名时，可以立即提供服务。一旦有关网域的局域域名服务器的缓存受到污染，就会把网域内的电脑导引往错误的服务器或服务器的网址。
域名服务器缓存污染可能是通过域名服务器软件上的设计错误而产生，但亦可能由别有用心者通过研究开放架构的域名服务器系统来利用当中的漏洞。
为防止局域的域名服务器缓存污染除了要定时更新服务器的软件以外，可能还需要人手改动某些设置，以提高服务器对可疑的域名封包作出筛选。

一般来说，一部连上了互联网的电脑都会使用互联网服务供应商（ISP）提供的域名服务器。这个服务器一般只会为供应商的客户来服务，通常会储蓄起部分客户曾经请求过的域名的缓存。缓存污染攻击就是针对这一种服务器，以影响服务器的用户或下游服务。

DNS污染是一种让一般用户由于得到虚假目标主机IP而不能与其通信的方法，是一种DNS缓存投毒攻击（DNS cache poisoning）。其工作方式是：由于通常的DNS查询没有任何认证机制，而且DNS查询通常基于的UDP是无连接不可靠的协议，因此DNS的查询非常容易被篡改，通过对UDP端口53上的DNS查询进行入侵检测，一经发现与关键词相匹配的请求则立即伪装成目标域名的解析服务器（NS,Name Server）给查询者返回虚假结果。而DNS污染则是发生在用户请求的第一步上，直接从协议上对用户的DNS请求进行干扰。

 目前一些被禁止访问的网站很多就是通过DNS污染来实现的，例如YouTube。

 修改Hosts文件，Windows中Hosts文件的优先级高于DNS服务器，操作系统在访问某个域名时，会先检测HOSTS文件，然后再查询DNS服务器。可以在hosts添加受到污染的DNS地址来解决DNS污染和DNS劫持，如 “www.xxx.com 127.0.0.1（正确的域名IP地址）”
使用安全的DNS服务器，大多数用户都是使用ISP默认的DNS，如果发现存在DNS劫持现象可以通过更换DNS服务器来实现避免DNS劫持，例如可以更换为第三方的DNS服务Opendns或者得Google的DNS服务器，不过使用第三方DNS服务器虽然可以解决DNS劫持情况，但是还是不能解决DNS污染问题的。

对于公司来说域名保护是非常重要的一项工作。公司应该询问注册机构的主要问题是注册机构如何处理域名更新，每个.com、.net和.org域名有五条能由域名拥有者更新的信息：
① 公司信息
② 管理信息
③ 账单信息
④ 技术信息
⑤ 名字服务器信息
为了激活域，所有的注册机构必须给gTLD数据库提供这些信息。在Network Solutions控制所有域的时候，这些联系信息有三种不同的账户，直到列出三个独特的联系信息为止。一些注册机构仍然遵循这种模式，但是有些注册机构已经选择了不同的方法：即使三个独立的联系信息存在，却只创建单个账户。
避免与单账户有关的问题的最好方法就是要避免单账户。一些注册机构特别擅长于和企业组织合作并且了解中型到大型公司的独特需求。考虑使用注册机构，如Network Solutions、Domain Bank或者Alldomains.com，它们有专门的公司程序。
另外一个安全预防措施是把当前的域名信息存储在一个文件中。万一出现问题，这会使恢复信息更容易。
管理、技术和账单联系信息都是同样的，因此只有一个联系列表。对于和域名一样重要的事物，公司不应该有单一联系，尽可能使用三种不同的联系，确保这些人知道他们是域的联系。同样，也确保联系人知道域的更新过程。
如果注册机构使用基于Web的界面，就要确保任何改变都是通过SSL加密连接来实现的。和其他服务一样，要确保账户或账号密码是安全的。除了保证安全之外，密码应该市场改变。
如果可能，为域名更新申请一个方法，这比SSL连接更安全。加密电子邮件信息，或者使用签名的方法是比较好的选择，尽管大多数注册机构不支持除Web访问之外的其他方法来改变域名。在此种情况下，应当采取相应安全预防措施来保护Web服务器和数据库。如果不能找到满意的答案，就改变注册机构。

DNS百度百科http://baike.baidu.com/view/22276.htm?fr=ala0_1
如何防止DNS缓存污染http://support.microsoft.com/kb/241352
相关英文资料http://code.google.com/intl/zh-CN/speed/public-dns/
 http://en.wikipedia.org/wiki/Domain_Name_System