我第一次注意到 DNS 有问题，是一个特别诡异的场景。

我的电脑开了代理，正常用着没问题。然后关机，再开机——上不了网了。不是那种网络断了的感觉，而是所有网站都打不开，浏览器转圈转半天。

但奇怪的是，把代理打开，再退出，网络就恢复正常了。

这个问题折腾了我好几天。每次开机都要先开代理再关代理，像个仪式一样。后来排查下来，发现是本机的 DNS 被污染了——开机后 DNS 设置被重置成了一个无效的地址，代理软件启动时会重新写入正确的 DNS，所以打开代理再退出就好了。

这不是我第一次被 DNS 坑。还有一次，电脑上一切正常，浏览器就是打不开网站，但视频软件却能正常播放。排查到最后，是路由器的 DNS 出了问题，运营商默认的 DNS 解析不了。

今天就把这两次经历理一理，顺便把 DNS 和 DNS 污染这件事说清楚。

什么是 DNS

DNS 就像个通讯录。

你在浏览器里输入 www.baidu.com，浏览器不知道百度在哪。它需要查一个"通讯录"，把这个域名翻译成百度的 IP 地址，比如 14.215.177.38。

这个"通讯录"就是 DNS——域名系统（Domain Name System）。

DNS 的工作就一件事：你给它一个域名，它返回一个 IP 地址。这个过程叫"域名解析"。

每次打开一个网站，你的电脑都会先向 DNS 服务器发起查询。拿到 IP 之后，浏览器再去连接真正的网站。

整个过程在你按下回车的那一瞬间就完成了，所以你平时根本感觉不到它的存在。

DNS 污染是什么

DNS 污染的意思是：你问 DNS 服务器"百度在哪"，它给你的答案被篡改了。

本来应该返回 14.215.177.38，但它返回了一个错误的 IP，比如 127.0.0.1，或者一个完全不相关的地址。浏览器拿到错误的 IP，自然就连不上真正的网站。

这就是为什么我第二次遇到的场景。网络没问题，浏览器没问题，视频软件还能看，唯独网站打不开。因为 DNS 告诉浏览器的地址是错的，而视频软件用的是另一套解析机制。

为什么会被污染

DNS 查询用的是 UDP 协议。UDP 的特点是快，但不安全。它不验证返回的数据包是不是真的来自 DNS 服务器。

有人在中间截获你的 DNS 查询，伪造一个"正确"的响应发给你。你的电脑收到假响应之后，以为是真的，就用那个假 IP 去访问。

这个过程叫"DNS 缓存投毒"或者"DNS 欺骗"。

常见的污染场景：

• • 运营商的默认 DNS 出问题，解析不了某些域名
• • 公共 WiFi 的 DNS 被篡改，劫持流量
• • 路由器被入侵，DNS 设置被改了
• • 某些地区的网络管制，故意污染特定域名

我遇到的两次，都是运营商的 DNS 出了问题。不是什么攻击，就是 ISP 的 DNS 服务器本身不稳定。

我是怎么排查的

第二次再遇到的时候，我没再折腾半天。排查其实不复杂：

第一步，确认是不是 DNS 的问题。用 ping 看域名解析出来的 IP 对不对：

ping www.example.com

如果 ping 出来的 IP 明显不对，比如返回了 127.0.0.1 或者一个完全陌生的地址，基本就是 DNS 出问题了。

第二步，直接查 DNS 记录：

nslookup www.example.com

这会显示你的系统正在用的 DNS 服务器返回了什么。如果结果不对，说明你的 DNS 服务器不可靠。

第三步，看看当前用的 DNS 服务器是谁：

# Mac/Linux
cat /etc/resolv.conf

# Windows
ipconfig /all

你会发现，大多数情况下，你的 DNS 服务器地址是运营商自动分配的。问题就出在这里。

怎么解决

解决办法很简单：换 DNS 服务器。

把电脑或路由器的 DNS 改成公共 DNS：

我当时的做法是：

• • 本机 DNS 设成 8.8.8.8，备用 1.1.1.1
• • 路由器 DNS 也改成阿里云的 223.5.5.5

改完之后，那两个诡异的问题再也没出现过。

平时怎么预防

吃过两次亏之后，我养成了一些习惯：

• • 路由器的 DNS 不要用运营商默认的，开机就改成公共 DNS
• • 电脑的 DNS 也手动指定，别依赖自动获取
• • 公共 WiFi 尽量少用，用了之后检查一下 DNS 有没有被篡改
• • 用 nslookup 偶尔验证一下 DNS 解析是否正常

DNS 这个东西太底层了，平时没人注意。但一旦出问题，你会觉得整个网络都坏了。其实网络好好的，只是"通讯录"被人调包了。

​

阅读原文：https://mp.weixin.qq.com/s/NxrB9tgueciv65LWVDvesw