行业资讯

使用命令行工具查询：

• Windows（命令提示符）：

# 使用本地DNS查询（可能被污染）nslookup www.github.com# 使用Google DNS（8.8.8.8）查询（对比结果）nslookup www.github.com 8.8.8.8# 使用Cloudflare DNS（1.1.1.1）查询（进一步验证）nslookup www.github.com 1.1.1.1

• Linux/macOS（终端）：

# 本地DNS查询dig www.github.com# Google DNS查询dig @8.8.8.8 www.github.com# Cloudflare DNS查询dig @1.1.1.1 www.github.com

结果分析：

• 若本地 DNS 返回的 IP 与 Google/Cloudflare DNS 返回的 IP 不同（如本地返回127.0.0.1或无效 IP，而公共 DNS 返回正常 IP），则判定为 DNS 污染；

• 示例：正常情况下www.github.com的 IP 约为140.82.112.4，若本地 DNS 返回192.168.1.1（私有 IP），则存在污染。

• 访问某 HTTPS 网站时，浏览器弹出 “NET::ERR_CERT_COMMON_NAME_INVALID”（证书域名不匹配），且确认该网站正常（如通过其他网络访问无问题），则可能是 DNS 污染导致解析到虚假 IP。

• 推荐工具：DNS Checker、What's My DNS；

• 操作：输入目标域名（如www.github.com），查看全球不同节点的解析结果，若某一区域（如中国大陆）的结果均为无效 IP，其他区域正常，则为该区域的 DNS 污染。

• 电脑端检查（以 Windows 为例）：

1. 打开 “控制面板→网络和共享中心→更改适配器设置”；

2. 右键点击当前网络（如 “以太网”“WiFi”）→“属性”→双击 “Internet 协议版本 4（TCP/IPv4）”；

3. 查看 “首选 DNS 服务器” 与 “备用 DNS 服务器”，若为未知 IP（如非 8.8.8.8、1.1.1.1 或 ISP 提供的正常 DNS），则可能被劫持；

• 路由器检查：

1. 打开浏览器，输入路由器管理地址（如192.168.1.1，默认地址在路由器底部）；

2. 登录后找到 “网络设置→DNS 设置”，查看 “DNS 服务器地址”，若被修改为陌生 IP（如10.0.0.1等非公共 DNS），则判定为路由器被劫持。

• Windows（命令提示符）：

# 追踪到Google DNS（8.8.8.8）的路径tracert 8.8.8.8

• Linux/macOS（终端）：

# 追踪到Cloudflare DNS（1.1.1.1）的路径mtr 1.1.1.1  # mtr比traceroute更详细，需先安装（如sudo apt install mtr）

• 结果分析：若路径中出现未知 IP（如非 ISP 的路由器 IP），或跳转次数异常多（如正常需 5 跳，实际需 15 跳），则可能存在 DNS 劫持。

• Windows：使用 Windows Defender 的 “全盘扫描”，或第三方杀毒软件（如火绒、卡巴斯基）扫描；

• macOS：使用 “聚焦搜索→终端”，执行sudo find / -name "*dns*" -type f | grep -i "changer"，排查是否存在 DNS 篡改工具；

• Android/iOS：在应用商店下载 “DNS 检测工具”（如 DNS Changer Detector），扫描是否存在异常 DNS 修改权限的应用。

• DoH 配置（浏览器层面）：

• Chrome：设置→隐私和安全→安全→使用安全 DNS→选择 “Cloudflare (1.1.1.1)” 或 “Google (8.8.8.8)”；

• Firefox：设置→常规→网络设置→设置→启用 “通过 HTTPS 使用 DNS”→输入 DoH 地址（如 Cloudflare：https://cloudflare-dns.com/dns-query）；

• DoT 配置（系统层面）：

• Windows 11：设置→网络和互联网→WiFi / 以太网→硬件属性→DNS 服务器分配→手动→启用 IPv4→输入 DoT 服务器（如 Quad9：9.9.9.9）；

• Linux（Ubuntu）：编辑/etc/systemd/resolved.conf，设置DNS=9.9.9.9，DNSOverTLS=yes，重启服务sudo systemctl restart systemd-resolved。

• 个人用户：使用合规 VPN 服务（需符合当地法律法规），VPN 会将 DNS 查询通过加密隧道发送至境外 DNS 服务器，避免中间网络污染；

• 技术用户：搭建 SSH 隧道或 Shadowsocks 代理，将本地 DNS 查询转发至境外 VPS，实现无污染解析。

• Windows：编辑C:\Windows\System32\drivers\etc\hosts，添加格式 “IP 地址 域名”（如140.82.112.4 www.github.com）；

• Linux/macOS：编辑/etc/hosts，添加相同格式；

• 注意：IP 地址可能变化，需定期通过公共 DNS 查询更新（如nslookup www.github.com 8.8.8.8获取最新 IP）。

• 修改默认配置：

1. 登录路由器管理后台，立即修改默认管理员密码（避免弱密码，如 “admin123”）；

2. 禁用 “远程管理” 功能（防止攻击者从外网控制路由器）；

3. 关闭不必要的服务（如 UPnP、WPS，这些功能易存在漏洞）；

• 定期更新固件：

• 从路由器官方网站下载最新固件，手动更新（避免使用 “自动更新”，防止固件被篡改）；

• 老旧路由器（使用超 5 年）建议更换，因其固件可能不再更新，存在已知漏洞；

• 启用 DNSSEC：

• DNSSEC（DNS 安全扩展）通过数字签名验证 DNS 响应的真实性，防止解析结果被篡改；

• 在路由器 DNS 设置中，勾选 “启用 DNSSEC”（需 DNS 服务商支持，如 Cloudflare、Quad9）。

• 锁定 DNS 设置：

• Windows：通过组策略（gpedit.msc）限制普通用户修改 DNS 配置（仅管理员可修改）；

• Android/iOS：在 “WiFi 设置” 中，将 DNS 设置为手动模式，输入公共 DNS（如 1.1.1.1），并关闭 “允许应用修改网络设置” 权限；

• 安装反劫持工具：

• 个人用户：使用火绒的 “DNS 保护” 功能，自动拦截 DNS 篡改行为；

• 企业用户：部署终端安全管理软件（如奇安信天擎），统一管控终端 DNS 配置，禁止恶意修改。

• 避免不可信网络：不连接无密码的公共 WiFi（如商场、火车站的 “免费 WiFi”），此类网络易被植入中间人攻击；

• 谨慎打开链接：不点击邮件、短信中的陌生链接，尤其是 “银行升级”“账号异常” 等诱导性链接；

• 定期扫描设备：每周使用杀毒软件进行全盘扫描，重点排查 “DNS 修改工具”“网络劫持软件”。

• 推荐使用谷歌验证器、企业微信 / 钉钉扫码验证，即使密码泄露，攻击者也无法登录账户。

• 个人用户：每周使用nslookup或在线工具（如 DNS Checker）查询常用域名（如银行、电商网站）的解析结果，确认 IP 是否正常；

• 企业用户：部署 DNS 监控工具（如 Cisco Umbrella、DNSlytics），实时监控企业域名的解析情况，异常时触发告警（如邮件、短信通知）。

• 部署专用 DNS 防火墙：如 BlueCat、Infoblox DNS 防火墙，可实时拦截恶意域名解析，阻断 DNS 劫持与污染；

• 建立内部 DNS 服务器：搭建企业自用的递归 DNS 服务器（如 BIND、PowerDNS），并启用 DNSSEC，避免依赖外部 DNS 服务；

• 流量审计与异常检测：通过网络流量分析工具（如 Wireshark、Netflow），监控 DNS 查询流量，识别异常请求（如短时间内大量查询同一陌生域名）。

• DNS 污染：核心是 “突破中间网络的被动干扰”，需通过加密 DNS（DoH/DoT）、公共 DNS、