DNS 污染是怎麼回事？一文搞懂原理與防護 作者：神的兒女都在歌唱 2025-06-03 10:05:00

朋友們，你們有沒有遇過這種情況？

今天，神唱就來帶大家搞清楚 DNS 污染到底是怎麼回事，並教大家如何有效防範！

1. 什麼是 DNS？
DNS（Domain Name System，網域名稱系統）是將 網域名稱（zhihu.com） 轉換為 IP 位址（103.41.167.234） 的系統。

當你造訪網站時，瀏覽器會向 DNS 伺服器請求解析域名，DNS 伺服器回傳對應的 IP 位址，然後才能正常開啟網頁。

簡單比喻： DNS 就像互聯網的“電話簿”，把你輸入的網域名稱翻譯成具體的地址，讓你找到目標網站。

2. DNS 污染是什麼？
DNS 污染（DNS Spoofing），又叫 DNS 劫持 或 DNS 快取投毒，是指攻擊者或某些組織在 DNS 解析過程中傳回錯誤的 IP 位址，導致使用者存取錯誤的頁面或被重新導向到惡意網站。

常見表現：

造訪某些網站時，請跳到釣魚頁面。
無法存取正常網站，提示 "無法解析網域名稱"。
被劫持到廣告、詐騙頁面。
3. DNS 污染的工作原理

發送 DNS 請求 ： 當使用者造訪一個網站時，首先會向本機 DNS 伺服器發送請求，查詢該網域的 IP 位址。
劫持 DNS 請求 ： 在網路通訊過程中，攻擊者或中間人截取 DNS 請求，並傳回一個偽造的 IP 位址，將使用者引向惡意網站。
造訪錯誤頁面 ：瀏覽器根據傳回的錯誤 IP 位址存取目標頁面，結果進入了一個陷阱。


4. 常見的 DNS 污染攻擊方式
DNS 快取投毒 ：攻擊者將偽造的 DNS 記錄注入到 DNS 快取中，導致後續的解析請求傳回錯誤訊息。
中間人攻擊（MITM） ： 攻擊者在使用者與 DNS 伺服器之間插入惡意中間人，修改傳回的 IP 位址。


劫持 ISP 解析 ：部分 ISP（網路供應商）會透過 DNS 劫持將存取流量導向特定頁面，例如廣告頁面或其他內容。
5. 如何偵測 DNS 污染？
(1) 使用 ping 或 nslookup 指令

在命令列中輸入：

查看傳回的 IP 位址，如果 IP 位址異常或與預期不符，則很可能是 DNS 污染。 可以上網找一些網域解析工具來做比較。

(2) 使用線上檢測工具

(3) 更換 DNS 伺服器 ：使用 Google DNS（8.8.8.8）或 Cloudflare DNS（1.1.1.1），中國電信（114.114.114.114），透過更換解析伺服器來繞過本地 DNS 污染。



6. 防止 DNS 污染的有效方法
(1) 使用加密 DNS 協議

DNS over HTTPS（DoH）： 將 DNS 查詢透過 HTTPS 加密，防止中間人竄改資料。
DNS over TLS（DoT）： 透過 TLS 協定對 DNS 查詢進行加密，增強資料安全性。
(2) 更換可靠的 DNS 伺服器 ，建議使用下列公共 DNS 伺服器：

Google DNS： 8.8.8.8 和 8.8.4.4
Cloudflare DNS： 1.1.1.1
(3) 啟用 VPN ： 使用 VPN 可以加密整個網路流量，避免本地 DNS 污染，確保 DNS 查詢資料安全。 

(4) 設定 Hosts 文件

在 hosts 檔案中手動設定關鍵網站的 IP 位址，繞過 DNS 解析過程：