怎么阻止DNS被修改？

当然可以，阻止DNS被修改是保障网络安全和上网体验的重要一环，DNS被篡改通常会导致网站被劫持、弹窗广告、钓鱼网站等安全风险。

您可以遵循以下从易到难、从个人设备到网络设备的全方位方案来阻止DNS被修改。

一、 个人计算机上的设置（治标）

锁定本地网络连接的DNS设置

这是最直接的方法，防止恶意软件或脚本修改您本机的DNS。

Windows 系统：

1、打开“控制面板” > “网络和 Internet” > “网络和共享中心”。

2、点击左侧的“更改适配器设置”。

3、右键点击您正在使用的网络连接（如“以太网”或“WLAN”），选择“属性”。

4、在列表中选择“Internet 协议版本 4 (TCP/IPv4)”，点击“属性”。

5、选择“使用下面的 DNS 服务器地址”，并手动输入您信任的DNS服务器地址，

首选（国内快速且相对纯净）：114.114.114.114 (114DNS) 或223.5.5.5 (阿里云DNS)

备选（国际知名）：8.8.8.8 (Google DNS) 或1.1.1.1 (Cloudflare DNS)

6、【关键步骤】 点击右下角的“高级”按钮，切换到“DNS”选项卡，确保这里只列出了您刚才设置的DNS地址，并勾选底部的“在DNS中注册此连接的地址”（这可以防止某些类型的篡改），然后确定所有对话框。

7、对“Internet 协议版本 6 (TCP/IPv6)”重复相同操作（如果您使用IPv6），或直接取消其勾选（如果您不确定是否需要它）。

macOS 系统：

1、打开“系统偏好设置” > “网络”。

2、选择您的网络连接（如Wi-Fi或以太网），点击“高级”。

3、切换到“DNS”选项卡。

4、在“DNS服务器”列表下方，点击“+”号添加上述可信的DNS服务器地址。

5、可以通过拖拽调整优先级，完成后点击“确定”，然后点击“应用”。

修改Hosts文件权限（高级）

Hosts文件的优先级高于DNS，也常被恶意软件修改。

位置

* Windows:C:\Windows\System32\drivers\etc\hosts

* macOS/Linux:/etc/hosts

操作您可以右键点击该文件 > “属性” > “安全”选项卡，将其设置为只读，并限制所有用户的“写入”权限，这可以阻止大多数程序修改它。

使用可靠的安全软件并保持更新

安装并定期更新杀毒软件和反恶意软件工具（如火绒安全、卡巴斯基、诺顿、Malwarebytes等），它们可以检测并阻止试图修改系统设置（包括DNS）的恶意软件。

二、 网络设备上的设置（治本）

如果您的整个局域网都出现DNS被劫持的情况，问题很可能出在路由器上，这是最关键的一步，因为控制了路由器就控制了整个家庭的网络。

修改路由器管理员密码

许多路由器出厂默认的用户名和密码是admin/admin，这非常危险，黑客或邻居可以轻易登录并修改您的DNS设置。

1、 登录路由器管理后台（通常是在浏览器输入192.168.1.1 或192.168.0.1，具体地址见路由器底部标签）。

2、 找到“系统工具”或“管理”中的“修改登录密码”选项，设置一个强密码。

锁定路由器的DNS设置

1、 登录路由器管理后台。

2、 找到“网络设置”或“DHCP服务器”相关选项。

3、 查找“DNS”或“DHCP”设置页面，通常会有一个“首选DNS服务器”和“备用DNS服务器”的选项。

4、 手动填入您信任的公共DNS地址（同上：114.114.114.114,223.5.5.5 等）。

5、保存设置并重启路由器。

注意：有些路由器（尤其是ISP提供的）可能被运营商远程管理，并强制推送自己的DNS，如果修改路由器DNS后仍被改回，可能需要联系运营商，或者考虑更换一个更开放的路由器。

开启路由器的安全功能

禁用路由器的WPS功能WPS存在漏洞，容易被破解。

使用WPA2或WPA3加密确保您的Wi-Fi密码是强密码，防止他人蹭网后进行中间人攻击。

三、 高级防护方案

使用DNSSEC

DNSSEC (DNS Security Extensions) 是一种为DNS查询提供身份验证的安全协议，可以有效防止DNS欺骗和缓存投毒攻击。

如何开启您需要选择支持DNSSEC的DNS服务商（如Cloudflare1.1.1.1、Google8.8.8.8 都支持），并在您的路由器或操作系统中开启DNSSEC验证功能（如果支持）。

使用加密DNS（DoH/DoT）

传统的DNS查询是明文的，容易被监听和篡改，DoH (DNS over HTTPS) 和 DoT (DNS over TLS) 将DNS查询加密，极大地提升了隐私和安全性。

如何开启

浏览器层面现代浏览器如Firefox和Chrome都可以在设置中开启DoH。

系统层面Windows 11/10 和最新版的macOS都在网络设置中提供了加密DNS的选项。

路由器层面部分高级路由器（如OpenWrt等）支持配置DoT，可以为所有连接设备提供全局加密DNS。

1、立即检查：首先按照第一部分的方法，检查并锁定您电脑的DNS设置。

2、核心步骤：务必登录您的路由器，修改管理员密码并锁定路由器的DNS，这是保护全家设备的最有效方法。

3、加强防护：使用安全软件，并考虑为追求更高安全性的设备开启加密DNS（DoH/DoT）。

4、保持警惕：不要点击来源不明的链接和附件，不要安装来路不明的软件，从源头上减少中毒风险。

通过以上组合拳，您可以极大地降低DNS被恶意修改的风险，保障您的网络安全。

文章摘自：https://idc.huochengrm.cn/dns/16295.html