对于一台对外服务的Linux服务器而言，DNS解析的可靠性和安全性直接关系到业务的稳定性。一旦遭遇DNS污染，轻则导致解析缓慢或访问异常，重则可能被引导到恶意站点，造成数据泄露、业务中断甚至安全入侵。本文将系统阐述Linux服务器防止DNS污染的最佳做法，帮助读者在生产环境中构建稳健、安全的DNS解析体系。

DNS污染的原理：

DNS是互联网的“电话簿”，负责将域名转换为IP地址。当DNS查询请求经过运营商或不安全的网络节点时，攻击者可能利用劫持或篡改手段，将本应正确的解析结果替换为错误结果。这类污染一般分为两种形式：域名劫持和缓存污染。域名劫持是将目标域名解析到恶意IP地址，例如钓鱼网站。缓存污染是将虚假解析结果写入本地DNS缓存或上游DNS缓存服务器，后续所有用户都会受到影响。

防止DNS污染的核心思路：

总结起来，Linux服务器防止DNS污染主要有以下几个方向：减少依赖不安全的上游DNS(如运营商 DNS)，使用加密DNS协议(DoT、DoH、DNSCrypt)，搭建本地缓存与转发服务(如 unbound、dnsmasq)，指定可信根证书和DNSSEC验证，多源冗余策略避免单点失效。下面进入实操环节。

实用防护措施与操作方法：

1. 选择可信的上游DNS

避免直接使用运营商提供的默认DNS，推荐的选择包括国际公共DNS和支持加密的DNS服务。在 Linux 中，可以通过修改 /etc/resolv.conf 来指定上游 DNS：

# 编辑 resolv.conf，添加可信 DNS
nameserver 1.1.1.1
nameserver 8.8.8.8

注意：某些系统(如使用 systemd-resolved)可能会自动覆盖 resolv.conf，需修改对应的 systemd 配置。

2. 搭建本地DNS缓存服务

方案一：使用unbound

unbound是一款轻量级、支持 DNSSEC 和加密的递归解析器。以Debian/Ubuntu为例为大家演示具体的步骤：

安装：

apt-get update
apt-get install unbound -y

配置文件(/etc/unbound/unbound.conf)示例：

server:
    interface: 127.0.0.1
    access-control: 127.0.0.0/8 allow
    verbosity: 1
    do-ip4: yes
    do-ip6: no
    do-udp: yes
    do-tcp: yes

    # 开启 DNSSEC 验证
    auto-trust-anchor-file: "/var/lib/unbound/root.key"

forward-zone:
    name: "."
    forward-tls-upstream: yes
    forward-addr: 1.1.1.1@853     # Cloudflare DoT
    forward-addr: 9.9.9.9@853     # Quad9 DoT

启动服务：

systemctl enable unbound
systemctl restart unbound

此时，服务器本地 DNS 查询全部通过 unbound，并强制使用加密传输，极大降低被污染风险。

方案二：使用dnsmasq

dnsmasq 适合小规模环境，主要作用是本地缓存和转发。

安装：

apt-get install dnsmasq -y

配置(/etc/dnsmasq.conf)：

no-resolv
server=1.1.1.1
server=8.8.8.8
cache-size=1000

启动：

systemctl enable dnsmasq
systemctl restart dnsmasq

适合需要快速缓存的小型服务器，但安全性不如 unbound。

3. 使用加密DNS协议

(1) DNS over TLS (DoT)

使用端口 853，常见实现方式为 unbound + systemd-resolved，或 stubby。

安装 stubby(轻量 DNS over TLS 客户端)：

apt-get install stubby -y

配置 /etc/stubby/stubby.yml：

upstream_recursive_servers:
  - address_data: 1.1.1.1
    tls_auth_name: "cloudflare-dns.com"
  - address_data: 9.9.9.9
    tls_auth_name: "dns.quad9.net"

(2) DNS over HTTPS (DoH)

DoH 可以绕过部分网络的 DNS 劫持，常见工具：

• cloudflared：Cloudflare 提供的 DoH 客户端。
• dnscrypt-proxy：支持 DoH、DoT、DNSCrypt 协议。

以 cloudflared 为例：

apt-get install cloudflared -y
cloudflared proxy-dns --port 5053 --upstream https://1.1.1.1/dns-query

配置 /etc/resolv.conf 使用本地 127.0.0.1#5053 作为 DNS。

4. 开启DNSSEC验证

DNSSEC 可以验证 DNS 数据的来源与完整性，防止伪造响应。

以 unbound 为例，启用方式：

server:
    auto-trust-anchor-file: "/var/lib/unbound/root.key"
    val-permissive-mode: no

验证 DNSSEC 是否生效：

dig sigfail.verteiltesysteme.net @127.0.0.1

如果配置正确，该域名将返回 SERVFAIL，说明验证生效。

5. 防御DNS劫持的网络层措施

强制路由规则：在防火墙中拒绝来自未知源的53 端口返回数据。

iptables 示例：

# 禁止外部 DNS 回复，只允许本地 unbound/dnsmasq
iptables -A OUTPUT -p udp --dport 53 -j DROP
iptables -A OUTPUT -p tcp --dport 53 -j DROP

DoH代理：将所有 DNS 请求强制通过 HTTPS 隧道。

6. 多源冗余与监控

配置多个上游DNS，部署监控脚本定期检测解析结果是否异常：

#!/bin/bash
DOMAIN="example.com"
DNS="127.0.0.1"
IP_EXPECTED="93.184.216.34"

IP_RESOLVED=$(dig +short @$DNS $DOMAIN | tail -n1)

if [ "$IP_RESOLVED" != "$IP_EXPECTED" ]; then
    echo "$(date): DNS Pollution detected! $DOMAIN resolved to $IP_RESOLVED" >> /var/log/dns_check.log
fi

通过定期校验，可及时发现异常。

DNS污染本质上是网络层和应用层双重安全问题。单靠修改 resolv.conf 并不能彻底防御，必须从 协议加密、缓存校验、网络控制和监控预警 多方面入手。对于生产环境的 Linux 服务器而言，最佳实践是：本地递归 + 加密转发 + DNSSEC 验证 + 多源冗余。这不仅能确保域名解析的正确性，还能抵御运营商劫持、攻击者篡改和中间人攻击。