下面我将从原理、解决方法(从易到难)和额外建议三个方面为您提供一份详细的指南。
DNS就像互联网的“电话簿”,它把你输入的网址(如www.google.com)转换成计算机能理解的IP地址(如142.251.42.206)。
DNS劫持就是有人(可能是黑客、ISP运营商、甚至是公共Wi-Fi提供者)恶意篡改了这个“查询”过程,给你返回一个错误的IP地址,从而把你引向一个钓鱼网站或充满广告的页面。
方案一:使用更安全可靠的公共DNS服务器(最有效、最推荐的方法)
你的网络默认通常使用网络服务提供商(ISP)的DNS服务器,这些服务器有时不够安全,甚至有些ISP会为了推送广告而进行劫持,更换为知名、安全、隐私性好的公共DNS是首选方案。
推荐几个主流公共DNS服务:
1、Cloudflare DNS
IPv4 地址1.1.1.1 和1.0.0.1
IPv6 地址2606:4700:4700::1111 和2606:4700:4700::1001
特点 速度快(号称全球最快),注重隐私(承诺不记录用户查询数据)。
2、Google Public DNS
IPv4 地址8.8.8.8 和8.8.4.4
IPv6 地址2001:4860:4860::8888 和2001:4860:4860::8844
特点 历史悠久,稳定可靠。
3、OpenDNS / Cisco Umbrella
IPv4 地址208.67.222.222 和208.67.220.220
特点 提供一些基础的家庭安全过滤功能(如屏蔽恶意网站)。
4、国内用户可选(速度可能更快):
阿里云 DNS223.5.5.5 和223.6.6.6
腾讯云 DNS (DNSPod)119.29.29.29 和182.254.116.116
114 DNS114.114.114.114 和114.114.115.115(国内非常知名)
如何设置?
在路由器上设置(推荐!)
这是最好的方式,因为一旦设置,所有连接到这个路由器的设备(手机、电脑、智能电视等)都会自动受到保护。
1. 登录你的路由器管理后台(通常是在浏览器输入192.168.1.1 或192.168.0.1,账号密码详见路由器底部标签或说明书)。
2. 找到“网络设置”或“DHCP服务器”或“互联网设置”相关选项。
3. 找到“DNS服务器”设置,将“自动获取”改为“手动”。
4. 填入你选择的DNS服务器地址(例如主DNS:1.1.1.1,备DNS:8.8.8.8)。
5. 保存设置并重启路由器。
在Windows电脑上设置
1. 打开“控制面板” -> “网络和 Internet” -> “网络和共享中心”。
2. 点击当前连接的网络(如“以太网”或“WLAN”),选择“属性”。
3. 双击“Internet 协议版本 4 (TCP/IPv4)”。
4. 选择“使用下面的 DNS 服务器地址”,然后填入你选择的DNS地址。
在macOS上设置
1. 打开“系统偏好设置” -> “网络”。
2. 选择当前使用的网络连接(如Wi-Fi),点击“高级”。
3. 选择“DNS”标签,点击左下角的+ 号添加DNS服务器地址。
在手机上设置(Android / iOS)
通常建议在路由器上设置,但也可以针对单个Wi-Fi进行设置。
iOS 进入“设置” -> “Wi-Fi” -> 点击当前连接的Wi-Fi右边的i 图标 -> 配置DNS -> 手动 -> 添加服务器。
Android 进入“设置” -> “网络和Internet” -> “高级” -> “私有DNS”,可以选择“私有DNS提供商主机名”并填入dns.google 或one.one.one.one(取决于你选择的提供商)。
方案二:使用DNS over HTTPS (DoH) 或 DNS over TLS (DoT)
这是更高级、更安全的方法,传统的DNS查询是明文的,就像寄送一张明信片,任何人都能看到内容,而DoH和DoT对DNS查询进行了加密,就像把明信片装进了密封的信封,有效防止了在传输过程中被劫持。
如何启用
现代浏览器(如Chrome, Firefox, Edge)在设置中都有开启DoH的选项。
Firefox 设置 -> 常规 -> 网络设置 -> 设置 -> 启用基于HTTPS的DNS。
Chrome 设置 -> 隐私和安全 -> 安全 -> 使用安全DNS。
操作系统级 较新版本的Windows、Android、macOS都支持系统级配置DoH/DoT。
路由器 一些开源路由器系统(如OpenWrt)或高端路由器支持安装插件来开启DoT/DoH。
VPN会加密你所有的网络流量(包括DNS查询),并将其通过一个安全隧道发送到VPN服务商的服务器,再由VPN服务器进行DNS解析,这从根本上杜绝了本地网络(如咖啡厅Wi-Fi)中的DNS劫持。
注意 请选择信誉良好、不记录日志的VPN服务商,因为你的所有流量都会经过他们。
1、检查设备是否已中毒: 有些恶意软件会直接修改你电脑的hosts文件或劫持本地DNS设置,使用 reputable 的反病毒软件(如卡巴斯基、BitDefender、Windows Defender)进行全盘扫描。
2、警惕公共Wi-Fi: 在公共Wi-Fi下,DNS劫持风险极高,尽量避免进行敏感操作(如网银、输入重要密码),如果必须使用,请务必开启VPN。
3、检查你的 hosts 文件:
Windows路径C:\Windows\System32\drivers\etc\hosts
Mac/Linux路径/etc/hosts
用文本编辑器打开它,正常情况下除了127.0.0.1 localhost 这样的语句外,不应有其他奇怪的映射记录,如果有,请删除。
对于绝大多数普通用户,我推荐的行动步骤是:
1、首选方案: 直接登录你的路由器,将DNS服务器更改为Cloudflare (1.1.1.1) 或Google (8.8.8.8) 的公共DNS,一劳永逸地保护所有家庭设备。
2、进阶方案: 在你的常用浏览器(如Firefox)中开启DoH功能,实现加密查询,提供双重保障。
3、高风险环境: 在公共Wi-Fi下,坚决使用VPN。
4、排除隐患: 运行杀毒软件扫描,检查hosts文件是否被篡改。
通过以上组合拳,你可以极大地提高网络安全性,有效屏蔽绝大多数DNS劫持。
文章摘自:https://idc.huochengrm.cn/dns/14004.html
评论