在日常上网的时候，你是否也遇到过这样的境况：你明明在浏览器输入的是正规银行的网址，但跳转的页面一眼假。这可能是你遇到 DNS 劫持了。

DNS 劫持是一种常见的网络攻击，它通过篡改域名解析记录，将用户引导至错误的 IP 地址，从而从事恶意行为。本文国科云将深入剖析 DNS 劫持的各种“症状”，并提供一些常见的应对策略。

一、DNS 劫持的表现形式有哪些？

要应对 DNS 劫持，首先要做到准确识别。DNS 劫持的表现形式有很多种，以下是几种最典型的情况：

1.网址正确，页面错误

这是最经典的劫持表现。你确定输入的网址是正确的（例如 www.guokeyun.com），但打开的却是一个与目标网站毫不相干，通常是钓鱼网站、广告聚合页或博彩网站。

2.频繁的弹窗广告和页面跳转

在浏览正常网站时，不断弹出和当前网站内容无关的广告窗口，或者点击页面上的任何链接都会跳转到指定的广告页面或下载页面。

3.“此网站安全证书存在问题”警告

当你尝试访问一个本应使用 HTTPS 加密的网站时，浏览器突然弹出红色警告，提示网站的安全证书无效、过期或与域名不匹配。这可能是你被劫持到了一个假冒网站，该网站无法提供由可信证书颁发机构签发的合法证书。

4.网络速度异常缓慢或出现特定错误

某些 DNS 劫持会导致解析过程变慢，或者将你指向一个已经宕机或位于国外的服务器，从而导致网页加载速度极其缓慢。有时，你可能会遇到只有特定网站无法访问，比如 Google、YouTube，而其他网站正常的情况，这可能是针对特定域名的劫持。

5.非本地区的搜索结果和广告

你搜索任何关键词，返回的搜索结果或者页面嵌入的广告，都明显和你所在的地理位置不符。比如，你在北京，却总是看到针对美国加州服务的广告。这是因为 DNS 解析被指向了位于其他地区的服务器。

6.软件报毒与网络异常

安全软件频繁拦截到来自未知域名或 IP 的网络攻击、恶意脚本下载请求。这可能是 DNS 劫持将你导向了托管恶意软件的服务器。

二、DNS 劫持的原理与类型

除了认识 DNS 劫持的表现形式外，要想正对应对，我们还要了解它的原理，弄清楚它的“工作机制”。

DNS 可以看作是互联网的“电话簿”，它负责将我们人类容易记忆的域名（如 www.guokeyun.com）翻译成计算机能够识别的 IP 地址（如 142.251.42.206）。DNS 劫持的原理，就是篡改了这本“电话簿”里的记录。

根据攻击者的不同，DNS 劫持主要分为以下几类：

本地 DNS 劫持：攻击者通过恶意软件感染用户的电脑或路由器，直接修改设备上的 DNS 服务器设置。此后，设备的所有域名解析请求都会被发送到攻击者控制的恶意 DNS 服务器。

路由器 DNS 劫持：路由器是家庭或办公网络的总出口。攻击者可能利用路由器的弱密码漏洞或 CSRF 漏洞，远程登录路由器管理后台，并将其 DNS 设置修改为恶意地址。这样，所有连接该路由器的设备都会受到影响。

中间人攻击：在公共 Wi-Fi 等不安全的网络环境中，攻击者可以窃听网络流量，并伪造 DNS 响应包，抢在正规 DNS 服务器之前把错误的 IP 地址返回给用户。

运营商级 DNS 劫持：某些不负责任的网络服务提供商（ISP）为了商业利益或政策管制需要，会拦截用户的 DNS 查询，并将特定域名的解析结果指向其他页面或无法打开。

DNS 服务器攻击：攻击者直接对递归 DNS 服务器或域名注册商发起攻击，篡改其缓存记录、NS 记录或者是 DNS 解析记录，导致所有使用该服务器的用户被导向错误地址。

三、如何有效应对 DNS 劫持？

了解了 DNS 劫持的表现形式和工作原理后，下面我们就可以针对性地采取一些应对措施了。国科云专家从个人客户端和企业网站侧两方面分别介绍下应对策略。

（一）个人用户

1.检查并清理本地设备

查杀病毒木马：立即使用权威的杀毒软件和安全工具对电脑进行全面扫描，清除可能存在的恶意程序。

检查本地 Hosts 文件：在 Windows 系统中，Hosts 文件的路径为 C:\Windows\System32\drivers\etc\hosts。用记事本打开，检查是否有异常的非本地回环地址（127.0.0.1 之外）与常见域名绑定的记录，如有则删除。

2.检查并重置路由器 DNS

登录路由器管理界面：通常通过在浏览器输入 192.168.1.1 或 192.168.0.1 访问，账号密码详见路由器底部标签或说明书。

查找 DNS 设置：在“网络设置”、“WAN 设置”或“DHCP 服务器”等菜单中，找到 DNS 服务器地址选项。

修改为可信 DNS：将其手动修改为国内外知名的、纯净的公共 DNS 服务地址。推荐使用：

国内推荐：阿里云 223.5.5.5 和 223.6.6.6；腾讯云 119.29.29.29；百度 180.76.76.76。这些 DNS 通常响应速度快，且承诺无劫持。

国际推荐：谷歌 8.8.8.8 和 8.8.4.4；Cloudflare1.1.1.1。

重启路由器：修改保存后，重启路由器以使设置生效。最后，最好再修改一下路由器的管理员密码，确保足够复杂。

3.采用更安全的网络连接方式

使用 HTTPS：务必确保在登录账号、进行支付等敏感操作时，浏览器地址栏显示有锁形图标和“https://”前缀。HTTPS 能对传输数据进行加密，即使 DNS 被劫持导致连接到了错误 IP，攻击者也无法轻易解密你的通信内容。

谨慎使用公共 Wi-Fi：在咖啡馆、机场等场所，尽量避免在公共 Wi-Fi 下进行敏感操作。

4.启用 DNS over HTTPS(DoH)或 DNS over TLS(DoT)

这是应对 DNS 劫持最有效的方式。传统的 DNS 查询是明文的，容易被拦截和篡改。DoH 和 DoT 技术则将 DNS 查询请求通过加密的 HTTPS 或 TLS 协议进行传输，相当于为你的“电话簿查询”过程加装了一个防窥屏。

浏览器设置：现代浏览器如 Chrome、Firefox、Edge 都内置了 DoH 支持。你可以在浏览器的“设置”->“隐私和安全”->“安全”中，找到并开启“使用安全 DNS”的选项，并指定一个支持 DoH 的 DNS 服务商。

系统级设置：在 Windows11/10 等操作系统中，也可以在网络适配器属性里直接配置 DoH。

（二）企业与网站管理员

对于企业而言，DNS 劫持的后果更为严重，可能导致品牌声誉受损、客户数据泄露乃至重大经济损失。可以采用以下方式进行应对：

1.为网站部署 SSL 证书：这不仅是对用户负责的表现，也能有效抵御“中间人”攻击。当用户访问你的 HTTPS 网站时，浏览器会验证证书的有效性，一旦证书不匹配，就会发出明确警告。

2.实施 DNSSEC：DNSSEC 是一种为DNS解析提供来源验证和数据完整性的安全协议。它通过数字签名的方式，确保接收到的 DNS 响应确实来自该域名的合法管理者，且在传输过程中未被篡改，是企业端应对 DNS 劫持最有效的方式之一。

3.加强域名注册商和 DNS 服务商的安全：

使用强密码与双因素认证：为你的域名管理账户和 DNS 托管账户设置独一无二的高强度密码，并开启双因素认证，防止账户被暴力破解。

选择信誉良好的服务商：选择那些提供高级安全功能且历史清白的知名注册商和 DNS 服务商（如，国科云、阿里云等）。

4.内部网络防护：企业应部署防火墙，并强制将内部网络的 DNS 请求指向受信任的内网 DNS 服务器或安全的公共 DNS，同时封锁对外部不可信 DNS 服务器的访问，防止终端设备被劫持。