DNS投毒(DNS缓存污染)会让你的正常请求被重定向到恶意网站或错误的服务器,解决这个问题需要从本地和网络层面逐步排查和修复,以下是具体步骤:
先断网(拔掉网线或关闭Wi-Fi),防止恶意流量进一步影响或窃取信息。
Windows系统:
- 以管理员身份打开命令提示符(cmd),输入ipconfig /flushdns 并回车。
macOS系统:
- 打开终端,输入sudo dscacheutil -flushcache; sudo killall -HUP mDNSResponder。
Linux系统:
- 输入sudo systemctl restart nscd 或sudo systemctl restart systemd-resolved(取决于你的系统)。
手动指定可靠的公共DNS,绕过可能被污染的运营商DNS。
Windows/macOS:
- 在网络设置中,将IPv4 DNS修改为:
- 首选:114.114.114.114(国内常用,纯净安全)
- 备用:1.2.4.8(中国)或8.8.8.8(谷歌,大陆可能屏蔽)
- 备用:208.67.222.222(OpenDNS,安全过滤)
路由器修改(推荐):
- 登录路由器后台(192.168.1.1或192.168.0.1),在“DHCP服务器”或“WAN口设置”中,将DNS改为上述地址,这样全屋设备都受影响。
DNS投毒有时会篡改系统hosts文件,导致域名被硬指向非法IP。
Windows:打开C:\Windows\System32\drivers\etc\hosts,用记事本查看,除了127.0.0.1 localhost 这一行,其他非常规条目(比如把baidu.com 指向某个IP)全部删除或整文件内容清空。
macOS/Linux:编辑/etc/hosts 文件,同样清理异常记录。
部分严重攻击会直接写入路由器固件,尝试:
- 重启路由器(拔电等待30秒再插)。
- 如果重启后问题依旧,进入路由器后台恢复出厂设置(注意备份宽带账户密码)。
- 检查路由器固件是否为最新,更新固件可修补已知漏洞。
开启DNS-over-HTTPS(DoH)或DNS-over-TLS(DoT),让DNS查询以加密方式传输,从源头杜绝投毒。
- Windows 10/11:设置 → 网络和Internet → 以太网/Wi-Fi → 编辑 → DNS服务器分配设为“手动”,开启“DNS over HTTPS”,选择公共DNS(如Cloudflare1.1.1.1 或阿里223.5.5.5)。
- 浏览器层面:Chrome/Firefox在安全设置中开启“使用安全的DNS”。
DNS投毒常与木马、流氓软件相伴,下载权威安全软件(火绒、Malwarebytes等)全盘扫描,清理异常进程和可疑服务。
- 使用nslookup baidu.com(替换为你关心的域名)查看解析结果是否为真实IP。
- 访问被篡改的网站,看是否恢复正常显示。
- 如果问题频繁出现,说明运营商DNS本身被污染(常见于某些ISP),必须强制使用公共DNS。
- 如果是公司网络,建议联系IT部门,因为入口路由器可能被投毒。
- 如果所有方法无效,且只有个别网站异常,可能是该网站服务器被DDoS或挂马,等待1-2天观察。
先按1→3→2→4的顺序尝试,通常能解决80%的DNS投毒问题,修复后记得修改所有重要账号密码(尤其邮箱、网银),确保安全。
文章摘自:https://idc.huochengrm.cn/dns/27421.html
评论