DNS 劫持是一种网络攻击,攻击者篡改 DNS 解析结果,将你试图访问的合法网址指向恶意网站(如钓鱼网站、广告页面或恶意软件下载站),应对 DNS 劫持需要采取多层次的安全措施:
🛡 核心防御策略
1、使用可信赖的公共 DNS 解析服务:
为什么有效? 公共 DNS 服务通常比 ISP(网络服务提供商)默认提供的 DNS 更安全、更快速,且更少受到本地劫持或审查干扰,它们也更容易部署加密。
推荐服务
Cloudflare:1.1.1.1 &1.0.0.1 (注重隐私和速度)https://1.1.1.1/dns/
Google:8.8.8.8 &8.8.4.4 (广泛使用,性能好)https://developers.google.com/speed/public-dns
Quad9:9.9.9.9 &149.112.112.112 (专注于安全,会阻止已知恶意域名)https://www.quad9.net/
OpenDNS (Cisco):208.67.222.222 &208.67.220.220 (提供家庭防护等可选功能)https://www.opendns.com/
国内可选(根据信任度选择)114.114.114.114 (114DNS),223.5.5.5 &223.6.6.6 (阿里DNS),119.29.29.29 (DNSPod/腾讯DNS) - 注意国内服务可能受政策影响。
如何设置
操作系统层面 在 Windows 网络适配器设置、macOS 网络偏好设置、Linux 的/etc/resolv.conf 或NetworkManager 中修改。
路由器层面 (强烈推荐!) 登录路由器管理界面(通常在浏览器输入192.168.0.1 或192.168.1.1),在 WAN 设置或 DHCP/DNS 设置中,将 DNS 服务器地址修改为选定的公共 DNS,这样所有连接到该路由器的设备都会自动使用安全的 DNS。这是最有效、覆盖范围最广的方式。
浏览器层面 部分浏览器(如 Firefox)支持单独设置 DNS 覆盖系统设置(常与 DoH 配合)。
2、启用 DNS 加密:
为什么有效? 传统的 DNS 查询是明文的,很容易在传输过程中被窥探和篡改(如 ISP、公共 WiFi 运营商、黑客),DNS 加密协议(DoT, DoH, DoQ)将你的 DNS 查询内容加密,使得中间人无法看到或篡改你请求的域名和返回的 IP 地址。
主要协议
DNS over TLS (DoT): 使用 TLS 加密(类似 HTTPS),通常在专用端口 853 上运行,需要在支持它的客户端或路由器上配置。
DNS over HTTPS (DoH): 将 DNS 查询封装在 HTTPS 请求中,通过端口 443 传输,更容易穿透防火墙,且流量看起来像普通 HTTPS 流量,主流操作系统和浏览器(Chrome, Firefox, Edge, Safari)都支持。
DNS over QUIC (DoQ): 基于 QUIC 协议(HTTP/3 的基础),旨在提供更低延迟和更好的连接迁移能力,相对较新,但前景广阔。
如何设置
操作系统层面 Windows 11, macOS, Android, iOS 等现代系统在设置 -> 网络 -> Wi-Fi/以太网 -> DNS 设置中,通常有选项启用加密(选择 DoT 或 DoH)并指定服务器(很多公共 DNS 服务支持加密)。
路由器层面 如果路由器固件支持(如 OpenWrt, DD-WRT, 或一些新出厂的路由器),在 DNS 设置中启用 DoT 或 DoH,并填入支持加密的 DNS 服务器地址,这是保护全家设备的最佳方式。
浏览器层面 Firefox, Chrome, Edge 等可以在设置中开启 DoH(通常称为“安全 DNS”或类似名称),并选择提供商(如 Cloudflare, Google, NextDNS 等)或自定义,这可以覆盖系统设置,但只保护该浏览器的流量。
3、检查并加固你的路由器:
修改默认管理员密码 使用强且唯一的密码,这是防止攻击者登录并篡改 DNS 设置的第一道防线。
更新路由器固件 定期检查并安装官方发布的最新固件,修复已知安全漏洞。
禁用 WPS: WPS 功能存在安全风险,容易被破解。
使用强 Wi-Fi 密码 (WPA2/WPA3) 防止未经授权设备接入你的网络。
关闭远程管理/UPnP (谨慎) 除非特别需要,否则关闭从外网访问路由器管理界面的功能,谨慎评估是否禁用 UPnP(方便但可能有风险)。
检查路由器 DNS 设置 定期登录路由器管理界面,确认 DNS 设置没有被篡改为未知地址,这是 DNS 劫持的常见入口。
4、确保使用 HTTPS 和注意浏览器安全指示:
HTTPS: 即使 DNS 被劫持,将你带到错误的 IP 地址,HTTPS 协议也能通过 SSL/TLS 证书验证服务器的身份,如果证书无效(为google.com 请求的证书却是由一个未知机构颁发给hacker-site.com),浏览器会显示醒目的警告(通常是红色锁或全屏警告)。绝对不要忽略这些警告! 它们可能是你遭遇了中间人攻击(包括 DNS 劫持后)的关键信号。
检查网址 养成习惯,到达网站后确认浏览器地址栏中的网址是否正确无误,没有拼写错误或奇怪的字符。
HSTS: 浏览器和网站可以使用 HTTP Strict Transport Security (HSTS) 策略,强制浏览器只通过 HTTPS 连接该网站,防止协议降级攻击(尝试将你从 HTTPS 降级到 HTTP 再进行劫持),现代浏览器对主流网站都有预加载的 HSTS 列表。
🛠 进阶/辅助措施
5、使用 VPN (虚拟专用网络):
为什么有效? VPN 会加密你设备到 VPN 服务器之间的所有网络流量(包括 DNS 查询),并将你的 DNS 请求通过 VPN 隧道发送到 VPN 提供商配置的 DNS 服务器,这有效防止了本地网络(如恶意 WiFi、被入侵的路由器、ISP)的 DNS 劫持。
注意 选择一个信誉良好、注重隐私的 VPN 服务商至关重要,劣质 VPN 本身可能记录你的活动或进行 DNS 劫持。
6、了解并使用 DNSSEC:
为什么有效? DNSSEC 是一种通过数字签名验证 DNS 响应真实性和完整性的安全扩展,它能防止 DNS 缓存投毒(一种导致 DNS 劫持的攻击方式)。
局限 需要递归 DNS 服务器(你使用的 DNS 服务)和权威 DNS 服务器(域名拥有者的 DNS)都支持并正确配置 DNSSEC 才有效,很多公共 DNS 服务默认支持并验证 DNSSEC,作为终端用户,确保你使用的 DNS 解析器支持 DNSSEC 验证即可(上述推荐的公共 DNS 大多支持)。
7、保持软件更新和安全习惯:
操作系统和软件更新 及时更新操作系统、浏览器、防病毒软件和安全补丁,修复可能被利用的漏洞。
安装可靠的安全软件 使用信誉良好的防病毒/反恶意软件,并保持更新,一些安全软件包含检测和阻止 DNS 篡改的功能。
警惕钓鱼和恶意链接 不要随意点击不明链接或打开可疑附件,这是防范所有网络威胁的基础。
定期检查设备 使用安全软件定期扫描设备,排查可能存在的恶意软件(如木马、rootkit),这些恶意软件可能会修改本机的 DNS 设置(hosts 文件或系统 DNS 配置)。
📝 总结应对步骤(按优先级)
1、立即行动: 将你的路由器 DNS 设置修改为信誉良好的公共 DNS 服务(如 Cloudflare, Google, Quad9)。
2、关键加固: 在路由器或操作系统/浏览器中启用 DNS 加密(DoT 或 DoH)。
3、基础安全:修改路由器管理员密码,更新路由器固件,使用强 Wi-Fi 密码。
4、时刻警惕: 访问网站时务必检查 HTTPS 证书有效性(浏览器锁图标无警告)和网址是否正确。绝不忽略浏览器安全警告!
5、长期维护:保持操作系统、浏览器、安全软件和路由器固件更新,定期使用安全软件扫描设备。
通过结合使用这些方法,特别是在路由器上配置加密的公共 DNS 服务和始终注意浏览器 HTTPS 警告,你可以极大地降低遭遇 DNS 劫持的风险,并保护自己的网络安全与隐私。🧐
文章摘自:https://idc.huochengrm.cn/dns/13567.html
评论