当前位置：首页 > news >正文

DNS 劫持分析和修复

news 2025/11/5 9:27:08

最近电脑手机总是遇到访问正常网站时，莫名其妙跳转到垃圾网站，很烦人不说，甚至网速都会受到影响，猜测应该是路由器被DNS劫持了，后面更改了DNS后就好了，于是今天心血来潮记录一下关于DNS劫持的一些事项。

域名服务器（DNS）劫持是一种 DNS 攻击形式，攻击者通过故意操纵 DNS 查询的解析过程，将用户重定向到恶意网站。黑客通常通过在用户 PC 上安装恶意软件、控制路由器，或拦截 DNS 连接来实现这一攻击。

DNS 劫持还可用于网络钓鱼攻击：攻击者通过劫持真实网站的 DNS，将用户重定向到假冒网站，诱导其输入登录凭证或敏感财务信息。此外，一些政府利用 DNS 劫持将用户重新路由到国家批准的网站，作为网络审查策略的一部分。

DNS 劫持通常有下面四种不同的形式：

序号	攻击类型	攻击目标	工作原理	影响范围
1	本地 DNS 劫持	用户设备（PC / 手机）	攻击者在用户设备上植入恶意软件（如特洛伊木马），该软件修改本地网络设置，将 DNS 指向攻击者控制的恶意 DNS 服务器。	仅受感染的设备
2	路由器 DNS 劫持	本地路由器 / 网关	攻击者利用路由器固件漏洞或默认弱密码入侵路由器管理界面，修改 DHCP 或 WAN/Internet 中的 DNS 服务器地址。	所有连接到该路由器的设备（Wi-Fi 与有线）
3	域名服务器劫持	权威 DNS 服务器 / 域名注册商	（最严重）攻击者通过钓鱼、社会工程或窃取注册商凭证等手段取得注册商/权威 DNS 控制权，直接修改域名的原始 DNS 记录指向恶意 IP。	访问该域名的所有用户（无论使用哪个 DNS）
4	中间人（MITM）	用户与 DNS 服务器之间的通信链路	攻击者拦截用户发出的未加密 DNS 查询，在 DNS 服务器返回正确响应前抢先发送伪造响应，返回恶意 IP。	攻击者可控制/监听的网络范围内的用户

当你通过域名注册机构注册网站时，会选择一个可用域名，并将网站的 IP 地址与之关联。假设您选择了域名 BusinessSite.com。DNS 记录会存储你网站的唯一 IP 地址，从而将域名链接到实际服务器。

在 DNS 劫持攻击中，黑客可入侵您的 DNS 系统，并将原 IP 地址替换为另一个。这样一来，通过 DNS 查询时，BusinessSite.com 将指向攻击者控制的服务器。

换言之，当用户在 Chrome、Firefox 或其他浏览器中输入“BusinessSite.com”时，不会访问您的真实网站，而是被重定向到攻击者的假冒站点。如果用户误以为这是合法页面，他们可能无意中输入敏感信息（如登录凭证）或下载恶意软件。

DNS 劫持的常见迹象包括：网页加载缓慢，在没有广告的网站上频繁弹出广告，以及弹出窗口通知用户他们的机器感染了恶意软件。除了这些迹象外，还可以使用下面几种方式来检查 DNS 是否已被劫持，包括：

在命令行中执行（Windows）：

nslookup www.baidu.com

或（Linux / macOS）：

dig www.baidu.com

观察结果：

DNS Server 一项是否为你自己配置的服务器（如 8.8.8.8、114.114.114.114 等）或者路由器推送的默认网关；

执行：

ipconfig /all

或：

cat /etc/resolv.conf

查看 DNS 服务器地址是否为：

如果是陌生的 IP（特别是局域网外部地址或奇怪的私网 IP），就有被篡改的风险。

1、更改电脑/手机 DNS

首选 DNS	备用 DNS	提供方	推荐理由
8.8.8.8	8.8.4.4	Google	全球通用，稳定可靠，解析速度快
114.114.114.114	114.114.115.115	114DNS（中国）	国内稳定、抗污染能力强
223.5.5.5	223.6.6.6	阿里 DNS	国内优化好，延迟低
180.76.76.76	—	百度 DNS	针对百度系网站优化，国内访问快
119.29.29.29	182.254.116.116	腾讯 DNSPod	稳定可靠，适合国内用户使用