Route53如何保护AWS服务，例如Amazon Workspaces，免受DNS污染的影响？

【以下的回答经过翻译处理】 DNS投毒攻击通常会针对DNS缓存或运营商的Local DNS Resolver。由于Route 53的角色是权威DNS服务器，因此我们不会直接受到这些类型攻击的影响，您选择Route 53作为DNS提供商不应影响您的威胁级别。

您可以按照此处描述为您的域名配置DNSSEC。 http://docs.aws.amazon.com/Route53/latest/DeveloperGuide/domain-configure-dnssec.html DNSSEC的中文名称是域名系统安全扩展(Domain Name System Security Extensions)。它是一套用于保护域名系统(DNS)的标准规范和协议。 DNSSEC通过使用公钥加密技术，来保证DNS解析过程的真实性和完整性。它可以防止DNS劫持和数据篡改等攻击。 DNSSEC的主要工作流程包括:

1. 域名注册机构为每个域名生成公钥和私钥，并将公钥发布在DNS系统中。
2. 域名服务器对域名记录进行数字签名，形成签名记录RRSIG。
3. 将公钥记录DNSKEY和签名记录RRSIG一起发布在DNS系统中。
4. 用户进行DNS查询时，可以通过公钥验证签名记录的真实性。
5. 如果签名验证失败，说明DNS响应遭到了伪造或篡改。

另外，您也可以使用AWS Lambda无服务器架构部署下面的DOH（DNS over HTTPS）解决方案。 https://github.com/nickovs/lambDoH

DOH的工作方式是:

1. 用户的设备或浏览器将DNS查询请求通过HTTPS协议加密,发送到支持DOH的服务器。
2. DOH服务器进行域名解析,并将结果通过加密的HTTPS连接返回给用户。
3. 用户设备获得加密的DNS响应,从中获取需要的域名信息。 与传统的明文DNS相比,DOH的主要优点有:
4. 提高安全性。DOH使用HTTPS加密传输,可以防止DNS查询被窃听或篡改。
5. 提高隐私性。DOH隐藏了用户的DNS查询内容。
6. 防止封锁。DOH使用正常的HTTPS端口,很难被运营商或网络方面屏蔽。
7. 性能更好。DOH使用HTTP/2多路复用,减少连接数,提高解析效率。 DOH已经被 Mozilla Firefox, Google Chrome等主流浏览器采用,是新兴的DNS安全技术,可有效提高DNS服务的安全性和隐私性。