如何解决移动DNS劫持问题？

告别“广告满天飞，网页乱跳转”——手把手教你解决移动宽带DNS劫持

作为一个重度网络用户，我曾在很长一段时间里对家里的移动宽带又爱又恨，爱的是它的性价比确实高，恨的是那无处不在的“小动作”——明明输入的是正确的网址，却莫名其妙被弹窗广告砸脸；搜索某个网站，结果被导向一个充满低俗内容的假站；更离谱的是，偶尔还会提示“找不到服务器”，但刷新几次又能神奇地打开。

后来我才知道，这一切的罪魁祸首，往往就是DNS劫持。

简单说，DNS就像网络的电话本，你输入网址，它帮你翻译成IP地址，而DNS劫持，就是运营商（比如移动）在这本“电话本”上动了手脚，你查A，它故意给你B，通常是广告页面、推广页或者它自己的“友好提示”页面，虽然他们官方可能会说这是为了“保障网络安全”或“提供更优质服务”，但对于普通用户来说，这体验简直糟透了。

作为普通用户，我们真就拿它一点办法都没有吗？当然不是，今天这篇文章，专门针对移动宽带的DNS劫持问题，给你提供一套既能解决当下问题，又能长期生效的实用方案，我不是什么网络专家，只是一个深受其害后自己动手解决了问题的老用户，我会用大白话，把我踩过的坑和经验全部分享给你。

第一步：先确认一下，你到底是不是被劫持了？

别急着动手，我们先确诊，有时候网页打不开或者有广告，可能只是你电脑的问题，以下几个现象，如果同时出现两个以上，那基本可以确定是中招了：

1、弹窗频率异常： 打开任何一个非知名小网站，或者在你认为安全的大型站点（如百度新闻、淘宝等）上，突然出现与页面无关的弹窗，比如色情游戏、赌博广告、甚至提示你“手机需要清理垃圾”。

2、URL跳转： 输入一个准确的网址，比如www.baidu.com，回车后却跳转到了www.baidu.com.somead.net 或者一堆乱码链接。

3、证书错误： 浏览器地址栏出现一把红锁，并提示“您的连接不是私密连接”或“NET::ERR_CERT_COMMON_NAME_INVALID”，这说明你访问的网站身份被篡改过。

4、特定时间发作： 晚上上网高峰期，或者看电影、下软件时，劫持现象特别严重，因为此时流量大，劫持更容易混杂在正常流量中。

5、手机电脑都中招： 在同一台移动宽带的Wi-Fi下，你手机和电脑都遇到同样问题，这说明问题出在“网络源头”，而不是你某个设备中毒。

如果你符合上述情况中的两三条，恭喜你，成功确诊，别慌，我们接着往下走。

第二步：最立竿见影的“大招”——更换公共DNS

这是解决DNS劫持最核心、最有效的方法之一，也是我第一个尝试成功的方法，原理很简单：既然移动自己的“电话本”不靠谱，那我们就换一本绝对干净、权威的“电话本”。

操作对象： 你的路由器，或者你电脑/手机的网络设置。

首选推荐： 国内外几个顶级公共DNS服务商，它们由大公司运营，承诺不会劫持和污染。

国内用户推荐：

阿里DNS：223.5.5.5 和223.6.6.6，国内速度快，稳定。

114DNS：114.114.114.114 和114.114.115.115，老牌，也比较干净。

腾讯DNS：119.29.29.29，国内连接速度极佳。

国际通用推荐（如果访问境外网站较多）：

Cloudflare DNS：1.1.1.1 和1.0.0.1，全球最快之一，非常安全，但可能偶尔被墙。

Google DNS：8.8.8.8 和8.8.4.4，全球最知名，但延迟相对高一些，且在国内可能由于网络问题连接不稳定。

怎么改？我这里重点讲最彻底的方法——改路由器。

1、 打开浏览器，输入你家路由器的管理IP地址（一般是192.168.1.1 或192.168.0.1），输入用户名和密码登录。

2、 找到“网络设置”、“WAN口设置”或“高级设置”等选项（具体名称因品牌而异）。

3、 找到“DNS设置”或“DHCP服务器”选项，通常默认是“自动获取”或“从ISP获取”，你需要改为“手动输入”或“使用下面的DNS服务器”。

4、 把你选好的首选DNS和备用DNS填进去，比如用阿里DNS，就填：

- 首选DNS服务器：223.5.5.5

- 备用DNS服务器：223.6.6.6

5、 保存设置，重启路由器。

6、注意： 改完路由器后，你家里需要重新连接Wi-Fi的所有设备（手机、电脑、电视）最好也重启一下网络连接，或者干脆断开Wi-Fi再重连，以确保获取到新的DNS。

效果： 设置完成后，你会发现弹窗广告几乎消失，网页打开恢复正常，这是我能想到的最快、最直接的解决方式。但有一个隐患：移动可能会因为你的路由器是通过它获取IP的，在你路由器本身的DHCP服务器里，又被偷偷“插”回了它的DNS，更稳妥的做法是在电脑和手机的网卡里，手动设置DNS。

手动设置电脑DNS（Windows为例）：

打开“控制面板” -> “网络和共享中心” -> 点击当前连接的那个网络 -> “属性” -> 双击“Internet协议版本4 (TCP/IPv4)” -> 勾选“使用下面的DNS服务器地址” -> 填上你选的DNS，手机同理，在Wi-Fi设置里，找到当前连接的Wi-Fi，选择“静态”或“手动”，然后填入DNS地址。

第三步：进阶防御——开启路由器“过滤器”功能

如果你觉得自己设置DNS还不够放心，或者碰到移动连公共DNS都给你强制重定向的“流氓行为”，那可以开启路由器的额外防护功能。

1、开启DNSSEC： 如果你的路由器固件支持（比如华硕、小米的高端型号，或刷了梅林、OpenWrt固件的路由器），可以开启DNSSEC，它相当于一个“数字签名验证器”，确保DNS查询的结果是真实可靠的，没有被中途篡改，开启方法在路由器安全设置里找。

2、开启DNS over HTTPS (DoH) 或 DNS over TLS (DoT)： 这是目前最安全的方式，它把DNS查询加密传输，运营商根本看不到你的查询内容，自然也无法进行劫持。

- 支持DoH的路由器固件（如华硕官改、梅林、Padavan等）可以直接开启。

- 如果你的路由器不支持，也可以在电脑或手机上安装支持DoH的客户端（如Cloudflare WARP、AdGuard等）。

3、使用带广告过滤功能的路由器固件： 比如刷了OpenWrt或梅林固件的路由器，可以安装Adbyby、KoolProxy或AdGuard Home插件，它们不仅从DNS层面拦截，还能在流量层面直接干掉广告请求，但这需要一定的动手能力，适合喜欢折腾的朋友。

第四步：最终武器——“反劫持”终极方案：软路由

如果你上面所有方法都试过了，还是偶尔被劫持（比如你发现自己设定的公共DNS在路由器重启后神秘失效），那说明移动的劫持手段比较“土”，甚至可能做了深度包检测（DPI），这时候，就得祭出终极武器了——软路由。

简单说，软路由就是用一台小电脑（甚至可以是你淘汰的旧笔记本）来当路由器，它比普通家用路由器强大无数倍，可以运行OpenWrt、iKuai等专业系统，在软路由上，你可以：

1、全局接管DNS： 设置私有DNS服务器，并通过防火墙规则强制所有流量都必须通过这个DNS，完全屏蔽运营商的干扰。

2、开启Smart DNS： 智能分流，国内网站用国内DNS解析，国外网站用国外DNS解析，又快又安全。

3、配合科学上网： 如果你有需要，可以把所有海外流量通过加密隧道发出去，DNS查询也一并加密。

4、近乎完美的广告过滤： 部署AdGuard Home，从整个网络层面杀掉所有广告，甚至能统计出你家一天产生了多少广告请求。

软路由门槛较高，需要一定的网络知识和动手能力，网上有很多教程和现成的系统（比如Lean的OpenWrt、Koolshare的梅林等），如果你愿意花一个下午去学习设置，它能给你带来前所未有的干净、稳定的网络体验，对我自己来说，用了软路由之后，家里所有设备都像换了一个网络世界，再也没有遇到过任何劫持。

写在最后：心态与建议

解决了DNS劫持问题，你的上网体验会大幅提升，但别指望100%完美，移动作为运营商，为了完成某些KPI（比如推广自家产品、增加广告点击量），仍然可能会尝试其他形式的干扰（比如HTTP劫持），但那又是另一个话题了。

给你几个小建议：

能改路由器就改路由器，这是性价比最高的选择。

优先使用国内公共DNS（阿里、114），速度快，且本土化做得好。

不要只改一个设备，有精力的话，把你所有的电脑、手机都手动设置上DNS，双重保险。

如果不会设置，可以求助万能的朋友圈或B站教程，关键词搜“设置DNS 路由器”。

遇到顽固劫持，别死磕，直接给移动客服打电话（10086），投诉“DNS劫持导致无法正常访问网站”，虽然他们不一定承认，但有时候会帮你刷新一下网络配置，可能就解决了。

网络世界本应是自由而干净的，面对移动的“小把戏”，我们普通用户并非只能被动挨打，动动手指，花上十几分钟，就能夺回控制权，希望这篇文章能帮到你，祝上网愉快！

文章摘自：https://idc.huochengrm.cn/dns/25213.html