DNS汚染に対して何ができるのか？

 DNS汚染解決策：信頼性の高いDNS（例：1.1.1.1/8.8.8）を置き換える、DoH/DoT暗号化を有効にする、Hostsファイルを変更する、またはVPNを使用する。 解決状況をリアルタイムで監視することで、アクセスの安全性と速度を確保する。

I: DNSの仕組み

ブラウザにウェブアドレスを入力するとき、舞台裏で起こっているプロセスは、実際にはDNSを通じたドメイン名解決である。DNSクエリプロセスは、大まかに以下のステップに分けられる：

1.ユーザーがリクエストを開始する ユーザーがブラウザにドメイン名を入力する（例：www.example.com）。 この時点で、コンピュータはローカルキャッシュをチェックし、ドメイン名に対応するIPアドレスが保存されているかどうかを確認する。 キャッシュに結果がある場合はそのまま戻り、そうでない場合は問い合わせ処理を開始する。

2.ローカルDNSサーバーの役割 ローカルキャッシュに対応するIPアドレスがない場合、オペレーティングシステムは、設定されているローカルDNSサーバー（通常はインターネットサービスプロバイダ（ISP）が提供する）にリクエストを送信する。 この場合、ローカルDNSサーバーはドメイン名に対応するIPアドレスを見つけようとします。 ローカルDNSサーバー自体がレコードを持っていない場合、他のDNSサーバーに問い合わせを続ける。 
3.再帰クエリ ローカルDNSサーバーがドメイン名のキャッシュ結果を持っていない場合、上位のDNSサーバーに再帰クエリを開始する。 まず、クエリはルートDNSサーバーに送信される。 
4. ルートDNSサーバー ルートDNSサーバーは、DNSシステムの最上位レベルを管理する責任を負う。 ドメイン名とIPアドレスのマッピングを直接保存するのではなく、DNSクエリをトップレベル・ドメイン・ネーム・サーバー（TLDサーバー）に誘導します。 たとえば、www.example.com のクエリは、ルートDNSサーバーを.comトップレベル・ドメイン・サーバーに向ける。5.  
5.TLDサーバー トップレベルドメインネームサーバーは、特定のトップレベルドメイン（.com、.orgなど）の管理を担当する。 
6.権威DNSサーバー 権威DNSサーバーは、ドメイン名とIPアドレスのマッピングを含む、特定のドメイン名の正確な解決レコードを保持する究極の「回答ソース」です。 権威DNSサーバーは、クエリの結果を要求元のDNSサーバーに返します。 
7.結果の返送 最後に、DNSサーバーは解決されたIPアドレスをユーザーのブラウザに返送し、ブラウザはそれを使ってターゲットウェブサイトのサーバーとの接続を確立し、ウェブコンテンツをロードすることができる。   汚染。

II. DNS汚染とは何か？ 
DNSハイジャックまたはDNSキャッシュポイズニングとも呼ばれるDNSスプーフィングとは、攻撃者または何らかの組織がDNS解決プロセス中に不正なIPアドレスを返し、ユーザーに誤ったページを閲覧させたり、悪意のあるウェブサイトにリダイレクトさせたりすることです。 
一般的な症状  
- 特定のウェブサイトにアクセスし、フィッシングページにリダイレクトされる。 
- 正常なウェブサイトにアクセスできず、「ドメイン名の解決ができません」と表示される。 
- 広告や詐欺ページにハイジャックされる。 
III. DNS汚染の仕組み  
1.DNSリクエストの送信：ユーザーがウェブサイトにアクセスすると、まずローカルDNSサーバーにリクエストを送信し、ドメイン名のIPアドレスを問い合わせる。 
2.DNSリクエストのハイジャック：ネットワーク通信中に、攻撃者または仲介者がDNSリクエストを傍受し、ユーザーを悪意のあるウェブサイトに誘導するために偽造IPアドレスを返す。 
3.誤ったページへのアクセス：ブラウザは返された誤ったIPアドレスに基づいて目的のページにアクセスし、罠にはまる。 
IV. 一般的なDNS汚染攻撃  
1.DNSキャッシュ汚染：攻撃者が偽造DNSレコードをDNSキャッシュに注入し、その後の解決要求がエラーメッセージを返すようにする。 
2.マン・イン・ザ・ミドル(MITM)攻撃：攻撃者がユーザーとDNSサーバーの間に悪意のある マン・イン・ザ・ミドル(MITM)を挿入し、返されるIPアドレスを変更する。 3.ハイジャックISP解決：攻撃者がISPの解決をハイジャックする。 
3.ハイジャックされたISPの解像度：一部のISP（インターネットサービスプロバイダ）は、広告ページやその他のコンテンツなど、特定のページにトラフィックを誘導するためにDNSハイジャックを使用します。 
V. DNS汚染を検出するには？DNS汚染を検出する方法は？ 
1.pingまたはnslookupコマンドを使用します。 
コマンドラインに入力してください：  
返されたIPアドレスをチェックし、IPアドレスが異常であったり、期待通りでない場合は、DNS汚染である可能性が高い。IPアドレスが異常であるか、期待したものと一致しない場合、DNS汚染である可能性が高い。 インターネットでドメイン名解決ツールを探して、比較することができる。 
2.オンライン検出ツールを使う  
3.DNSサーバーを変更する：Google DNS (8.8.8.8)またはCloudflare DNS (1.1.1.1)、China Telecom (114.114.114.114)を使用して、解決サーバーを変更してローカルDNS汚染を回避する。

VI：どのようにDNS汚染を解決するには？

1.信頼できるDNSサービスプロバイダを選ぶ

CDN5 DNSやCloudflare DNSのようなパブリックDNSサービスなど、経験豊富で評判の高いDNSサービスプロバイダを選択します。 これらの大企業は通常、強力なセキュリティ保護システムと優れたサービス品質を持っており、DNS汚染攻撃に効果的に対抗することができます。

2.DNSSEC技術の使用

DNSSEC（DNS Security Extension）は、DNSのセキュリティを強化するために使用される技術です。 DNSSECを使用することで、ユーザーはDNSレスポンスの正当性を確認することができ、DNS汚染の影響を回避することができます。 DNSSECをサポートするDNSサーバーとリゾルバを使用することで、ドメイン名解決の安全性を高めることができる。 
VII. DNS汚染を防ぐ効果的な方法  
1.暗号化DNSプロトコルの使用  
(1) DNS over HTTPS (DoH)：DNSクエリをHTTPS上で暗号化し、仲介者によるデータ改ざんを防ぐ。 
(2）DNSオーバーTLS（DoT）：TLSプロトコルでDNSクエリを暗号化し、データの安全性を高める。 
2.信頼性の高いDNSサーバーの置き換えとして、以下のパブリックDNSサーバーの利用を推奨する：

(1) CDN5 DNS: 8.8.8.8および8.8.4.4。 
(2) Cloudflare DNS: 1.1.1.1. 3.  
3.VPNの有効化：VPNを使用することで、ネットワークトラフィック全体を暗号化し、ローカルDNSの汚染を回避し、DNSクエリデータのセキュリティを確保することができます。VPNが何であるかわからない場合は、こちらの記事をお読みください：仮想プライベートネットワーク（VPN）を理解していますか？ 
4.ホストファイルの構成  
DNS解決プロセスをバイパスするために、hostsファイルに主要なウェブサイトのIPアドレスを手動で設定します：

# 例：CDN5のIPアドレスを追加 103.41.167.234 cdn5.com