事情起因

春节一直待在娘家。我爸跟我说，邻居小孩老问我什么时候回来。果不其然，今天我前脚刚回家，他后脚就来找我了。

原来是他家网络不好，想让我帮忙看看。他说，可以看电视，可以玩手机。但他新买的电脑有好多网页打不开，还会跳出一些奇怪的网页。我说，虽然不懂网络，但你找到了我，我高低把你网络整瘫痪。

我拿电脑连上他家wifi，习惯性的打开了自己的博客：码中人的博客。

博客不仅没正常打开，还return一个黄色网站：

还真是有问题啊。

于是我看了下网络情况 ipconfig /all:

发现PC被自动下发了一个：45.14.107.35 的DNS服务器。

然后我查了下这个地址，位于新加坡，运营商是xTom。应该不是免费公共DNS 服务器，应该是私人搭建干坏事的DNS。

然后我也查了一下这些黄色网站的域名。

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

C:\Users\matthew>nslookup xa1jgfbdlwf2ncxq.2x8963.com
服务器:  dns.google
Address:  8.8.8.8

非权威应答:
名称:    gec41ac.cdn.cdn365gnlc.vip
Addresses:  192.238.225.21
          192.238.254.84
          192.238.254.88
          192.238.254.87
          192.238.254.86
          192.238.254.85
Aliases:  xa1jgfbdlwf2ncxq.2x8963.com
          a031fa9d.cdn365gnlc.vip

问题总结

这应该就是所谓的DNS劫持了。DNS劫持是指在DNS解析过程中，将用户的域名解析请求重定向到错误的IP地址，从而实现对用户的网络流量进行劫持的一种攻击手段。

他家的网络装的是电信天翼网关，下面连的是一个路由器和IPTV的电视盒子。PC通过路由器上网，默认是自动获取DNS。所以这个DNS劫持不是路由器的问题，而是电信天翼网关的问题。

1
2
3
4
5

[电信天翼网关] ← (ISP网络，可能强制DNS)  
   ↓（桥接或路由模式）  
[路由器]  
   ↓（DHCP分配）  
[PC] → DNS请求 → 由路由器或网关指定的DNS服务器解析

这些篡改可能是出于恶意目的，例如网络钓鱼；也可能是出于互联网服务提供商（ISP）的自身目的，例如防火长城以及公共或路由器提供的DNS服务提供商将用户的网络流量引导至ISP自己的web服务器，以便投放广告、收集统计数据或实现ISP的其他目的；还可能是DNS服务提供商为了阻止对特定域名的访问而采取的一种审查形式。

解决方案

最简单的解决方案就是在他的电脑上设置一个公共DNS服务器，例如阿里的 223.5.5.5 或者谷歌的 8.8.8.8。

设置之后，问题就解决了。但没有设置的设备还是会受到DNS劫持的影响。于是我重置的路由器，发现路由器的DNS是自动获取的，也是这个劫持的DNS。于是我手动设置了一个公共DNS，这样所有设备都能正常上网了。

由此看来，这个DNS劫持可能是ISP搞的鬼。

唉，正应了那句：城市套路深，我要回农村。农村路也滑，人心更复杂。