简单说就是DNS缓存投毒攻击，对不可靠的UDP协议篡改，伪装成目标域名的NS，返回虚假结果，查询是否被污染，ping域名ip是国外被墙的Facebook，youtube等或者dig +trace

理论上只需要修改TCP协议代理DNS请求，自建加密的DNS即可。

从用户层面来说，家用宽带，运营商会自动分发一个DHCP，一般是递归DNS，如果查不到就会到对应域名的权威DNS去查询，如果有污染的话，就会路由扩散到了 Facebook等相关的域名。比如某DNS商解决方案是通过实时缓存到运营商DNS，从而清洗污染的ip，TTL时间越短，缓存越及时，这也是为什么TTL越短，价格越贵，TTL在30分钟内也只能清洗到60%，同样TTL1分钟，价格达到惊人的1.28W，假设1分钟内没有上报，也会有漏网之鱼的污染，所以猜测清洗也只能98% 。

以上也只能应对，却不能预防，比如一些技巧方法，设置DNSSEC，换SSL证书，在CF上进行若干巴拉巴拉的猛如虎操作，等等，实际效果为0

还有一些大佬说用Mosdns进行DNS分流，本人没有试过，且他们都是为了科技上网用，总不能让你的域名访问者都修改自建DNS吧

论坛有人发的自建CDN可以预防是个什么鬼，恕我知识量有限，CDN只能解决域名假墙问题，你确定你成功的案例是DNS污染而不是假墙，还是有很多成功的案例？

什么是域名假墙，可通过cdn解决，这就不得不说曾经牛逼的烈马总裁团队了，一个让站长闻风丧胆的团队，不低价卖就干你，在假墙面前，哪怕99999T的ddos都是弟弟，把你按在墙上摩擦，让你束手无措，曾经为了那口气，真的自建了50个ip的CDN，为何要50个才能抗衡，这又是一个很高听的故事了，假墙改天再聊。

以上知识停留在2年前，凡事不能那么绝对，说不定有内部小圈子在用的某些牛逼方法。

解决建议：付费清洗然后快速301新域名，转移权重走人，打不赢就跑。