上网强跳广告/无法访问？你的DNS可能被毒害惨了
　　【PConline 杂谈】自从进入网络时代，大家的生活也愈加多姿多彩起来，但也多出了很多烦恼。例如，信息海洋中时不时出现的大群垃圾，以及深渊，就令人防不胜防。这里说的正是上网过程中遇到莫名其妙的网页跳转，好端端的一个网页，突然就变成了满屏的广告；或者本来能正常访问的页面，突然就打不开了，但之类的软件却可以正常登录。这到底是什么原因造成的呢？其实出现了这些令人困扰的异常现象，意味着你可能是DNS劫持、投毒的受害者。　　DNS到底是什么？　　虽然我们经常上网，但并不是每个人都对开启一个网页背后的机制了如指掌。轻点鼠标，网页即呈现在眼前，何其熟悉的操作，但这熟悉操作的背后，却蕴藏着一套环环相扣的流程。从用户点击鼠标、敲下回车，到网页显示，信息首先会通过发送，然后经路由中转，接着DNS将域名解析成IP，找到后服务器会发送内容给用户，接着再由路由转发数据，最后将内容呈现给用户。视实际情况，这个过程中还可能存在更多关卡，比如说防火墙、代理服务器等。存在诸多环节，被劫持的机会很多，其中DNS非常容易被做手脚　　在这套流程中，无论浏览器、路由、DNS、服务器等任一环节中出了叛徒，都有可能导致网页无法访问。而被人篡改最多的，或许就是DNS了。DNS全称是域名系统，它所起到的作用，在于把域名解析为IP地址。我们能访问到某个网站，靠的是连接到该网站服务器的IP地址，DNS在这里面起到的作用就是把&www.baidu.com&解析成&123.125.114.144&这样的IP地址，让你能够连接到这地址的服务器来访问网站。把网址解析为IP地址，就是DNS所起到的作用了　　在上网的流程中，有太多的因素可以影响到DNS，例如你的PC的设置、的设置、运营商的设置等等，DNS一旦出现了差错，就会无法把域名解析成为正确的IP地址，我们自然也无法访问到正确的页面。因此，如果你发现开启不了网页，但QQ这样直连IP的网络软件却可以正常服务，那DNS就是一个非常值得怀疑的原因。　　DNS出错会导致什么后果？　　DNS这个环节可以被太多因素影响，所以不少利益相关者都会在这里面做手脚。例如，DNS劫持就是非常常见的广告投放手段。　　一般情况下，如果你不特别设置DNS服务器，那么DNS服务器就会由运营商来提供。按理来说，运营商提供的DNS服务器应该用于正确地为你提供IP跳转，但偏偏很多运营商DNS服务器的人品都不堪入目。你常常就能看到运营商会把你给跳转到什么开通上网套餐之类的页面，甚至会出现你输入A购物网但却被跳转到竞争对手B的情况，这就是所谓的DNS劫持。开个百度，整个网页都被强制跳转到XX娱乐城去了，这就是典型的DNS劫持　　要对付运营商的DNS劫持，设置一个可靠的DNS服务器往往就可以解决问题。然而，很多朋友在设置了可靠的DNS服务器后，仍然不能解析到正确的IP地址，例如某个网站的IP地址明明是可以Ping通的，但就是无法访问。这种情况，通常是DNS污染所导致的。　　虽然DNS服务器能够正常工作，但我们向DNS服务器发送域名解析请求的时候，是通过UDP连接发送的。UDP并不是什么可靠的连接，所以域名解析请求能够在半路上就被人拦截，然后冒充DNS服务器给你发送错误的IP地址。IP地址是错的，我们自然也不能正常地访问网站，有可能会看到广告、钓鱼页面，也有可能什么也看不到。DNS默认使用UDP连接，而且未经加密，很容易遭遇污染、投毒　　无论是那种情况，DNS出错就意味着你没法正确地访问网站。在整个上网的流程中，DNS这环节无疑是脆弱而且不受用户控制的，如果一定要有人用DNS来害你没法正常上网，大多数人都对此无能为力。那么DNS频频出错到底还有没有救呢？　　DNS出错到底有没有救？　　前面也提到过，要对付运营商的DNS劫持，我们可以设置一个可靠的DNS服务器来进行域名解析。目前很多安全厂商或者互联网企业乃至公益组织，都提供了DNS解析服务。例如、诺顿、Comodo、百度、阿里、Google等企业，都有提供DNS解析服务，你也可以选择Open DNS这样的老牌免费DNS服务。这些DNS服务，都可以在网上轻易搜到具体的IP地址，这里就不一一罗列了。当然，并不是说用了这些DNS服务，就一定不会有DNS劫持，万一这些企业人品也不行呢？至于谁靠谱，就得靠你来自个儿筛选了。　　另外，DNS如果不是运营商所提供的话，速度表现并不一定理想。这里推荐一款名为&DNS jumper&的软件，它能够比较全面得测试DNS的连接速度，并设置DNS。利用DNS jumper，很容易就能够找到适合你网络状况的DNS。　　另外，如果运营商DNS劫持行为太过猖獗，也可以到工信部投诉运营商劫持网页，这的确是非常行之有效的方法，有效到了某些运营商竟然直接屏蔽了工信部的投诉网页的程度。那么该如何到工信部投诉运营商呢？去工信部投诉运营商还是非常行之有效的　　首先，遇到网页劫持的情况，不要直接向工信部投诉。按照流程，先向运营商投诉，无效后投诉到工信部，才会被受理。工信部张贴出来的申诉条件中也包括&已经向被申诉人投诉且对其处理结果不满意或者其未在15日内答复&这一条，所以先走一下流程也是有必要的，万一向运营商投诉就解决问题了呢？　　然而事情往往不会这么美好，运营商的回答通常很敷衍，对技术不熟悉的客服人员甚至不明白网页劫持是什么意思。无效后，就可以向工信部投诉运营商了！　　&工信部投诉网址：&&　　&工信部投诉电话：010-12300　　如无意外，投诉后问题就会得以解决。　　但即使如此，如果有人在DNS请求的UDP连接过程中做手脚，那还是防不胜防。一些公司就会利用这个原理，控制不让员工随便访问网络。如果要规避这个过程，思路就是避免DNS用UDP这样不靠谱的连接来查询。你可以利用一些手段，设置DNS为TCP连接查询，也可以通过加密来让其他服务器中转DNS请求。IPV6强制部署IPSec，这也可以让DNS更安全　　当然，这些方法实现起来都需要折腾，并不符合一般用户使用。或许在待到将来IPV6全面铺开时，DNS的安全性才会有进一步提升。　　总结　　总体而言，现在DNS的机制显然在设计之初没有充分考虑到安全性，导致别有用心者频频利用这一环节影响用户的正常网络访问。DNS频频被劫持、投毒的现状如何才能改变？从技术上来说很难，希望以后能够有更完善的监管手段，让用户有更好的上网体验吧。
最新资讯离线随时看
聊天吐槽赢奖品
相关软件：
大小：18.86 MB
授权：免费
大小：33.23 MB
授权：免费查看:5764|回复：10
& &故障状况， 公司原来是电信光纤上网， 因最近上ERP系统。建了域控制器，为了让内网机器能访问该域，在路由中将DNS改成了域服务器的IP（内网）。 之后发现. 就完全上不去，
& &一开始以为是电信的问题， tracert .发觉最后一跳的IP已经到了国外。跟电信服务人员沟通。那边判断可能是google封了我们的IP段，于是更换另一段IP地址， 还是不行。于是还得找内网这边的原因。 分析是DNS学习数据有问题， 有没有大侠给分析一下？
& &我们的网络结构非常简单，&&路由下面是交换机，再到桌面。&&没有防火墙。 有朋友说，将DNS，改为8.8.8.8.添加之后，发现还是不行。 请赐教。
GOOGLE某些时候是有这样的问题
除了GOOGLE以外，其他网站是否正常》
谢谢，兄弟参与，除了网站之外，其他暂时看起来非常正常，不过因公司是外企。总经理对较为青睐。 所以，一直在尝试恢复对访问。
可以测试不通过DNS服务器的方式上网试试吗？
google是经常会出现问题~我们这也一样，一般都是过一会就会好~
可以修改一下本地host试一下！
谢谢，各位大侠的参与， 修改HOST文件，我打算试试，不过好像修改HOST文件只能解决单机上的问题吧，我在自己家里，ADSL拨号那种。会偶偶上不去不过过一阵就好了。 现在这里是从来没有好过，我倾向于是因为域服务器的问题， 测试中，倘有结果，会再上来跟大家交流。也欢迎其他的建议。
google.com.hk东莞电信这边光钎是打不开的！
我这边也是这样& &电信报故障& &他们那边都没办法处理！我其他的线路就可以访问！
等三天，TTL时间设置的多少？
不行就是你设置的问题了。
因临近年尾，这几天很忙，没有去弄了。
之前有兄弟说，不经过路由直接接电脑上网，我测试过，也不行。做了这一步之后，才跟电信的技术说，他们给换了一段新IP 。换了之后，还是不行。 估计他们也没什么更好的方法。
& &我觉得电信在给新IP之前，在自己机房测试一下，是很容易的事。 为毛不给段我能上上的地址呢？有没有在电信上班的兄弟给释一下疑？
& & 刚刚这位兄弟说的.TTL设置有问题。 应给不是，我们的路由基本是用默认配置。 没有改过这个参数。
如果单独访问IP可以访问么？
C:\Users\Wilson&ping
[211.98.70.194] with 32 bytes of data:
Reply from 211.98.70.194: bytes=32 time=118ms TTL=247
Reply from 211.98.70.194: bytes=32 time=134ms TTL=247
Reply from 211.98.70.194: bytes=32 time=153ms TTL=247
Reply from 211.98.70.194: bytes=32 time=112ms TTL=247
如果可以，设置特殊解析不就好了，或者定义URL跳转
谢谢楼上，这个我也试过，也不行。今天过客户公司。准备弄的时候，发觉竟然自己好了。 也许问题还是在电信层，或者google服务器那边。DNS是网络基础协议之一，想必大家都应该有所了解。对于所有基于Windows系统的网络来说，DNS都属于最重要的服务之一。在没有DNS支持的情况下，活动目录就不能正常工作，并且它使用到的功能也比任何其它类型的网络都多。因此，在DNS出现问题时尽快解决就成为一项非常关键的工作。幸运的是，在通常情况下这一过程是比较容易的。在本文中，作者就列出了十项DNS故障排除技术。
修复DNS故障1：对网络连接情况进行验证
当发现DNS服务出现问题时，应该做的第一件事情就是对DNS服务器的网络连接情况进行验证。毕竟，如果实际问题仅仅是一块网卡出现了故障，耗费在从头开始对设备进行全面检查的大量时间就可以都省下来了。
对连接情况进行验证的最简单方法就是登录到DNS服务器上，并利用ping命令检查与其它机器的连接状态。还应该做的就是，尝试利用随机机器来ping连接DNS服务器。请务必牢记，只有在防火墙的配置里容许网际消息控制协议(ICMP)数据包通过的情况下，ping命令才能发挥作用。
修复DNS故障2：确定问题波及的范围
在确定基本连接正常的情况下，下一步要做的工作就是确定问题波及的范围。实际情况是互联网名称解析服务失败，还是本地名称解析服务失败呢?对于不同的问题来说，采取的解决方法也是有很大区别的。举例来说，如果本地名称解析服务正常，而互联网名称解析服务失败的话，问题可能就是出在互联网服务供应商的DNS服务器上。
修复DNS故障3:确认是否所有用户都受到影响
接下来要考虑的另一件事情就是是否网络上的所有用户都受到了影响，或者是仅仅限于部分用户。如果确认只有部分用户受到影响的话，请对这些用户所在的网络段位置进行检查，确认他们是否属于同一范围。如果答案是确定的话，问题可能与路由器故障或动态主机配置协议(DHCP)配置错误有关。
修复DNS故障4：确认DNS服务器上是否运行了负载均衡处理技术
某些情况中，公司对网络服务器资源的极大需求会导致DNS服务器被分散到多台相同的网络服务器上利用DNS轮循技术实现工作量的负载平衡技术被投入使用。该技术中存在的一个典型问题就是，在其中一台服务器已经宕机的情况下，DNS服务器不会了解到实际情况发生了变化。因此，尽管其中的一台服务器已经处于脱机状态，但输入流量依然被平均分配给循环中的所有服务器。由此导致的结果就是负载平衡资源在连接间歇性方面出现问题。
修复DNS故障5：对DNS服务器转发器进行检查
如果已经确认本地名称解析服务运行正常，但互联网名称解析服务无法工作的话，下面要检查的就是DNS服务器是否在使用转发器。尽管很多DNS服务器都利用根提示来提供互联网名称解析服务，但也有一些使用转发器连接到互联网服务供应商的DNS服务器上。如果互联网服务供应商的DNS服务器出现了问题，在解析器缓存中条目过期的情况下，互联网名称解析服务将失败。如果确认DNS服务器没有使用转发器，还可以尝试一下对服务器进行ping检测，以了解它是否在线。可能需要做的还包括致电互联网服务供应商，来了解那里是否存在任何DNS方面的问题，并确保在转发器中使用的网络IP地址仍然属于有效的。
修复DNS故障6：尝试利用一台主机进行ping测试
如果本地网络中的名称解析服务出现问题，就应该选择尝试对网络中的其它服务器进行ping测试。首先，可以利用服务器的网络IP地址进行ping测试。这样的话，就可以确认该服务器是否依然可以连接。接下来，要做的就是利用计算机名称和服务器的完全合格域名进行ping测试。
如果网络IP地址可以通过ping测试，但域名无法通过的话，就应该对DNS服务器进行检查，以确保主机(A)记录的存在。如果没有主机(A)记录的话，DNS服务器将无法解析主机的名称。
修复DNS故障7：使用NSLookup查询域名命令
对于排除DNS故障来说，最方便的工具之一就是NSLookup查询域名命令。它可以在Windows命令提示符窗口中使用。只要输入NSLookup加上需要测试名称解析服务的主机名称，Windows就可以返回DNS服务器的网络IP地址和解析名称(尽管在通常情况下，DNS服务器名称显示的是为未知)。它也可以提供指定主机的完全合格域名和网络IP地址。
对于两件事情来说，NSLOOKUP命令非常有用。首先，它可以容许对名称解析服务是否正常进行验证。其次，如果名称解析服务无法正常工作，它可以帮助确认使用的服务器是哪一台。请务必牢记，Nslookup的查询结果中只列出它最初连接到的DNS服务器。如果名称解析请求被转发到其它DNS服务器的话，这些服务器是不会被列出的。
修复DNS故障8：尝试使用一台备用DNS服务器
大多数公司都拥有至少两台DNS服务器。如果主DNS服务器出现了问题，请尝试使用备用DNS服务器。如果在切换DNS服务器后，名称解析服务可以正常工作，就可以确认该问题确实是涉及到DNS服务器，而不是一些外部因素。
修复DNS故障9：扫描病毒
大约一星期前，有人向我求助。他们的网络中出现了问题，现象是每当试图访问特定网站的时间，就会被重定向到一家恶意站点上。我最早的怀疑是DNS中毒攻击，但在发现实际情况是只有一台计算机受到影响后，这种可能性被排除了。
最后，我发现问题是一种病毒占据了TCP/IP协议栈，对所有名称解析请求进行拦截。尽管这一问题在最初看起来似乎是DNS的问题，但实际上病毒需要承担最终的责任。
修复DNS故障10：重新启动DNS服务器
我知道这种措施看上去很象陈词滥调，但当所有解决方案都没有成功的时间，选择重新启动DNS服务器也是一条出路。在这么多年的工作经历中，我见到多起由于未知原因导致名称解析服务失败，但在重新启动DNS服务器后一切就正常的情况。
同样，我遇到过至少两起消费级路由器出现停止转发DNS请求而其它类型流量依然正常的情况。在其中一起案例中，重新启动路由器就可以解决该问题。而在另一起案例中，就必须更换路由器。据分析，该路由器可能是在前一天发生的停电事故中损坏。}