難怪我們上網時總彈出廣告,原來是它...

這裡說的正是上網過程中遇到莫名其妙的網頁跳轉，好端端的一個網頁，突然就變成了滿屏的廣告;或者本來能正常訪問的頁面，突然就打不開了，但QQ之類的軟體卻可以正常登錄。這到底是什麼原因造成的呢?其實出現了這些令人困擾的異常現象，意味著你可能是DNS劫持、投毒的受害者。

雖然我們經常上網，但並不是每個人都對開啟一個網頁背後的機制了如指掌。輕點滑鼠，網頁即呈現在眼前，何其熟悉的操作，但這熟悉操作的背後，卻蘊藏著一套環環相扣的流程。

從用戶點擊滑鼠、敲下回車，到網頁顯示，信息首先會通過瀏覽器發送，然後經路由中轉，接著DNS將域名解析成IP，找到伺服器後伺服器會發送內容給用戶，接著再由路由轉發數據，最後瀏覽器將內容呈現給用戶。視實際情況，這個過程中還可能存在更多關卡，比如說防火牆、代理伺服器等。

網頁瀏覽存在諸多環節，被劫持機會很多，DNS非常容易被做手腳

在這套流程中，無論瀏覽器、路由、DNS、伺服器等任一環節中出了叛徒，都有可能導致網頁無法訪問。而被人篡改最多的，或許就是DNS了。

DNS全稱是域名系統，它所起到的作用，在於把域名解析為IP位址。我們能訪問到某個網站，靠的是連接到該網站伺服器的IP位址，DNS在這裡面起到的作用就是把「www.baidu.com」解析成「123.125.114.144」這樣的IP位址，讓你能夠連接到這地址的伺服器來訪問網站。

把網址解析為IP位址，就是DNS所起到的作用了

在上網的流程中，有太多的因素可以影響到DNS，例如你的PC的設置、路由器的設置、運營商的設置等等，DNS一旦出現了差錯，就會無法把域名解析成為正確的IP位址，我們自然也無法訪問到正確的頁面。因此，如果你發現開啟不了網頁，但QQ這樣直連IP的網絡軟體卻可以正常服務，那DNS就是一個非常值得懷疑的原因。

DNS這個環節可以被太多因素影響，所以不少利益相關者都會在這裡面做手腳。例如，DNS劫持就是非常常見的廣告投放手段。

一般情況下，如果你不特別設置DNS伺服器，那麼DNS伺服器就會由運營商來提供。按理來說，運營商提供的DNS伺服器應該用於正確地為你提供IP跳轉，但偏偏很多運營商DNS伺服器的人品都不堪入目。

你常常就能看到運營商會把你給跳轉到什麼開通上網套餐之類的頁面，甚至會出現你輸入A購物網但卻被跳轉到競爭對手B的情況，這就是所謂的DNS劫持。

點開正常網頁卻出來xx娛樂城——典型的DNS劫持

要對付運營商的DNS劫持，設置一個可靠的DNS伺服器往往就可以解決問題。然而，很多朋友在設置了可靠的DNS伺服器後，仍然不能解析到正確的IP位址，例如某個網站的IP位址明明是可以Ping通的，但就是無法訪問。這種情況，通常是DNS汙染所導致的。

雖然DNS伺服器能夠正常工作，但我們向DNS伺服器發送域名解析請求的時候，是通過UDP連接發送的。UDP並不是什麼可靠的連接，所以域名解析請求能夠在半路上就被人攔截，然後冒充DNS伺服器給你發送錯誤的IP位址。IP位址是錯的，我們自然也不能正常地訪問網站，有可能會看到廣告、釣魚頁面，也有可能什麼也看不到。

無論是那種情況，DNS出錯就意味著你沒法正確地訪問網站。在整個上網的流程中，DNS這環節無疑是脆弱而且不受用戶控制的，如果一定要有人用DNS來害你沒法正常上網，大多數人都對此無能為力。那麼DNS頻頻出錯到底還有沒有救呢?

前面也提到過，要對付運營商的DNS劫持，我們可以設置一個可靠的DNS伺服器來進行域名解析。目前很多安全廠商或者網際網路企業乃至公益組織，都提供了DNS解析服務。

當然，並不是說用了這些DNS服務，就一定不會有DNS劫持，萬一這些企業人品也不行呢?所以，千防萬防不如自己去防，選擇一款紐盾防火牆，拒絕劫持從自身做起！

另外，DNS如果不是運營商所提供的話，速度表現並不一定理想。這裡推薦一款名為「DNS jumper」的軟體，它能夠比較全面得測試DNS的連接速度，並設置DNS。

利用DNS jumper，很容易就能夠找到適合你網絡狀況的DNS。另外，如果運營商DNS劫持行為太過猖獗，也可以到工信部投訴運營商劫持網頁，這的確是非常行之有效的方法，有效到了某些運營商竟然直接屏蔽了工信部的投訴網頁的程度。那麼該如何到工信部投訴運營商呢?

首先，遇到網頁劫持的情況，不要直接向工信部投訴。按照流程，先向運營商投訴，無效後投訴到工信部，才會被受理。工信部張貼出來的申訴條件中也包括「已經向被申訴人投訴且對其處理結果不滿意或者其未在15日內答覆」這一條，所以先走一下流程也是有必要的，萬一向運營商投訴就解決問題了呢?

然而事情往往不會這麼美好，運營商的回答通常很敷衍，對技術不熟悉的客服人員甚至不明白網頁劫持是什麼意思。無效後，就可以向工信部投訴運營商了!

紐盾小雷鋒之工信部投訴電話：010-12300

如無意外，投訴後問題就會得以解決。

但即使如此，如果有人在DNS請求的UDP連接過程中做手腳，那還是防不勝防。一些公司就會利用這個原理，控制不讓員工隨便訪問網絡。如果要規避這個過程，思路就是避免DNS用UDP這樣不靠譜的連接來查詢。你可以利用一些手段，設置DNS為TCP連接查詢，也可以通過加密來讓其他伺服器中轉DNS請求。

IPV6強制部署IPSec，這也可以讓DNS更安全

當然，這些方法實現起來都需要折騰，並不符合一般用戶使用。或許在待到將來IPV6全面鋪開時，DNS的安全性才會有進一步提升。

總體而言，現在DNS的機制顯然在設計之初沒有充分考慮到安全性，導致別有用心者頻頻利用這一環節影響用戶的正常網絡訪問。DNS頻頻被劫持、投毒的現狀如何才能改變?從技術上來說很難，但是紐小盾這裡必須要為自己站臺了——紐盾產品專治網絡疑難雜症！紐盾讓你安全讓你飛！歡迎諮詢！

上海紐盾科技股份有限公司，成立於2009年，2003年已組建研發團隊，十年研發經驗沉澱，專注網絡安全，致力提供安全與智能化相結合的專業技術，協助搭建牢固的網絡安全堡壘，實現全網IT安全智能化機制。目前紐盾產品涵蓋「網絡安全、網絡應用、數據安全、大數據分析與挖掘」……等多個領域。

諮詢熱線：400-8048-858

公司網站：www.newdon.net