DNS劫持

DNS劫持，是指通過攻擊域名解析服務器（DNS）或偽造域名解析服務器（DNS）的方法，把目標網站域名解析到錯誤的IP地址從而實現用戶無法訪問目標網站的目的或者蓄意或惡意要求用戶訪問指定IP地址（網站）的目的。

通常來說存在三種情況：

路由器被入侵

DNS服務被入侵

運營商流量劫持

鑒于運營商方面有時溝通無果，本文只討論前兩種情況。

DNS劫持應該優先排查好主機方面的問題，如DNS配置有無問題，本地hosts文件是否被篡改過，瀏覽器設置是否被改動，前兩種情況可以直接查看，瀏覽器設置問題可以使用360、火絨等殺軟直接進行掃描并修復。

路由器被入侵導致的DNS劫持應該是最常見的場景，由于某些路由器可能映射管理端口到外網，并且有可能存在弱口令和RCE的問題，所以遇到DNS劫持的情況，應當首先更換路由器設備（當前，肯定要換不同的款式），然后查看情況是否解決，如果解決問題，那么針對原路由的口令以及后門RCE漏洞等進行分析，出具相關報告。

如果仍未解決問題，那么考慮DNS服務器是否遭受入侵。

登錄DNS服務器，查看DNS配置是否存在問題，若發現被惡意更改，則確認該事件是由于DNS服務器遭受入侵導致，需要使用殺軟進行病毒查殺掃描，可以參考上篇文章中的主機處理流程。