通过域名动态解析技术实现被污染的DNS能够正常访问。实现原理是用CDN加速服务器的分布式解析服务实现动态解析,把被污染的网站DNS的解析功能指向CDN提供的解析器,通过CDN的解析功能获得正确的IP。
CDN通过缓存网站的静态资源和JS脚本,并同步到全球不同区域,根据用户访问的距离,解析到就近的IP。国内的CDN普遍要求域名备案,国外的CDN不要求域名备案,例如Imperva(https://www.vultr.com)和Cloudflare(https://www.cloudflare.com/),下面以Cloudflare为例说明动态解析的功能。
首先通过邮箱在Cloudflare注册账号,添加DNS并配置解析内容(A记录和@)和物理IP地址。Cloudflare生成DNS解析信息,Cloudflare内容包括Type、Name、Value、TTL和Proxy Status,配置时Proxy Status(流量分发)先设置成无效,配置完成后再开启流量分发,并设置DNS Only。开启SSL/TLS功能,并确认Universal SSL Status是Active Certificate。
在域名提供商的管理界面,配置CDN提供的域名解析服务地址,等待一段时候后即可生效,CDN根据域名与缓存的资源进行匹配,实现客户能够正常访问网站。Cloudflare是分布式系统,理论上很难屏蔽它的IP地址,从而实现DNS正常解析。