如何防止 DNS 缓存中毒和欺骗

当我们试图防止 DNS 欺骗时，最终用户的保护是有限的。 为了保护他们的用户和他们自己，DNS 服务器提供商和网站所有者更有能力。 如果我们想保证每个人的安全，双方都必须避免欺骗。

服务器提供商和网站所有者的预防措施如下

• DNS 欺骗检测工具
• 端到端加密
• 域名系统安全扩展

终端用户的预防措施如下

• 我们永远不要点击无法识别的链接。
• 我们应该每天扫描我们的系统是否存在病毒或恶意软件。
• 我们应该通过刷新我们的 DNS 缓存来解决中毒问题。
• 我们应该使用 VPN（虚拟专用网络）

网站所有者和 DNS 服务器的预防提示

网站用户的安全掌握在 DNS 服务器提供商和网站所有者的手中。 如果我们想将威胁拒之门外，可以使用各种协议和保护工具。 在各种资源中，我们应该使用以下一些资源

DNS 欺骗检测工具：此工具与终端用户安全产品相关。 如果我们要发送数据，这些工具可以帮助扫描我们想发送的所有数据，然后再发送出去。

DNSSEC（域名系统安全扩展）：它是一种用于添加额外验证方法来保护我们的 DNS 的协议。 使用 DNSSEC，可以对 DNS 消息进行身份验证。 此 DNSSEC 协议创建一个唯一的加密签名，该签名与我们的其他 DNS 记录一起存储。 然后，DNS 解析器使用此签名来验证 DNS 响应。 在 DNSSEC 系统的帮助下，DSN 查找保持无欺骗且真实。

端到端加密：在这种情况下，DNS 请求以加密的方式发送数据，并使攻击者无法访问，因为他们不可能复制网站的唯一安全证书。

终端用户的预防提示

在 DNS 中毒攻击中，最终用户尤其容易受到攻击。 以下是一些避免受害者遭受 DNS 中毒攻击的提示。

永远不要点击无法识别的链接：有时，用户会点击他们无法识别的链接。 该链接可以位于任何短信、社交媒体、电子邮件等上。 我们应该尽可能避免这种情况，因为链接目的地可以通过可以缩短 URL 的工具进一步掩盖。 如果我们想在地址栏中保持安全，我们应该始终手动输入 URL。 在手动执行此操作之后，我们已经确认我们在 URL 中输入的网站是官方且合法的。

每天扫描我们的系统是否存在恶意软件：虽然我们无法检测到 DNS 缓存中毒，但我们的安全软件将帮助删除和发现任何二次感染。 任何类型的恶意程序都由欺骗站点传送，因此我们的系统始终需要扫描间谍软件、特洛伊木马、病毒和其他类型的隐藏问题。 这反过来意味着恶意软件也可能传递欺骗。 基于 Web 的结果也可能因中毒而被欺骗，因此我们应该始终使用本地程序，而不是托管版本。

刷新我们的 DND 缓存：系统可能会长时间包含缓存中毒，因此为了避免这种情况，我们应该丢弃注入的数据。 就像我们打开窗口、运行程序并键入“ipconfig /flushdns”一样，此过程也很简单。 刷新选项也可在 Android、iOS 和 MAC 上使用。 这些通常可以在特定原生 Web 浏览器的 URL 中找到，或者在“网络设置重置”选项中找到，通过重新启动设备来切换飞行模式。 如需更多指导，我们可以查看我们的特定设备方法。

使用 VPN（虚拟专用网络）：所有 Web 流量都使用这些服务提供加密隧道。 它还提供了由专用 DNS 服务器使用的端到端加密安全。 因此，它为我们提供了无法中断的请求以及针对 DNS 欺骗非常强大的服务器。

恶意软件攻击和DNS 欺骗对我们有害，因此我们不应该让自己容易受到攻击。 我们可以使用 Kaspersky Security Cloud 来保护自己，它适用于 Mac iOS 和 Windows PC。