移动 DNS 劫持指用户使用移动网络时,域名解析遭异常篡改,致访问偏离
中国移动 DNS 劫持”的详细内容:
DNS劫持
| 分类 | 定义 | 示例 |
|---|---|---|
| 本地DNS被劫持 | 用户所在的本地DNS服务器被攻击者篡改,替换成恶意的DNS服务器,以便攻击者控制DNS查询结果 | 无 |
| 中间人DNS被劫持 | 攻击者通过劫持用户请求的DNS服务器来对DNS查询结果进行篡改,通常使用DNS欺骗或者DNS劫持技术来实现 | 无 |
中国移动DNS劫持的表现
- 网站访问异常重定向:当访问某些特定网站,尤其是一些可能涉及出省流量或特定业务竞争相关的网站时,会被强制跳转到其他导航网站,例如有用户访问学校网站时,因原网站挂掉,移动直接将其重定向到http://www.139nav.com/err。
- 部分网站无法正常访问:一些特定的网站域名在移动网络下可能无法解析到正确的IP地址,导致无法正常访问,比如有用户发现家里的电脑和公司的电脑在使用移动宽带时,访问Adobe的部分网站(如http://accounts.adobe.com)会被重定向至http://139nav.com,还有部分被指向特定IP(如http://creative.adobe.com被指向183.221.250.11)。
中国移动DNS劫持的原因
- 成本考量与流量管控:运营商维护服务器和相关设备需要成本,为了降低运营成本,可能会对出省流量等进行劫持和引导,对于一些小运营商来说,有省内流量考核,跨省访问会增加成本输出,所以会通过劫持手段减少省骨干网络链路的负载压力,尽可能减少中继链路、远距离骨干链路以及负载能力弱的链路上的流量。
- 商业竞争因素:在某些情况下,可能与竞争厂商存在利益纠葛,比如A公司和B公司为行业利益相争的友商,不凑巧的是A公司的实力比较雄厚可以收拢运营商的人,或者某个IDC机房的人,在机房出口或者小区出口架设分流器等设备来采集通过的业务流量,一旦流量被匹配上之后也直接做劫持。
检测是否遭遇中国移动DNS劫持的方法
- 使用在线DNS检测工具:可通过在线DNS检测工具比对解析结果,若与公共DNS(如8.8.8.8)返回结果不一致,可能存在DNS劫持,例如当移动宽带用户遭遇网页自动跳转、访问国际网站异常缓慢或频繁出现广告弹窗时,极可能遭遇DNS劫持,此时可借助工具检测。
- 更换网络环境对比测试:如果怀疑是移动宽带的问题,可以尝试使用其他网络(如电信宽带)访问相同页面,若其他网络能正常访问而移动宽带不行,则可能是被移动宽带劫持了。
应对中国移动DNS劫持的措施
- 浏览器设置方面
- 使用支持DNS over HTTPS(DOH)的浏览器:如火狐浏览器自版本76开始默认启用了DOH功能,DOH将DNS查询封装在HTTPS协议中进行传输,通过加密技术让运营商难以识别DNS请求,从而增加查询的隐私和安全性,有助于解决DNS劫持问题。
- 安装广告拦截插件:部分广告拦截插件不仅可以阻止广告显示,还能在一定程度上防止被劫持到一些恶意广告网站,但需要注意选择正规可靠的插件,避免自身带来安全风险。
- 网络设置方面
- 修改路由器DNS设置:可以尝试将路由器的DNS设置为一些公共的、较为可靠的DNS服务器地址,如谷歌的8.8.8.8或8.8.4.4等,但需要注意的是,部分运营商可能会对这种方式进行限制或仍然能够进行一定程度的劫持。
- 联系运营商投诉:向中国移动客服反映DNS劫持问题,要求其解决问题,可以收集相关证据,如劫持时的页面截图、具体的网站访问记录等,以便更有力地说明问题。
相关问题与解答
问题1:使用公共DNS一定能避免中国移动的DNS劫持吗? 解答:不一定,虽然使用公共DNS可以尝试规避ISP劫持,但在实际中可能无效,因为运营商可能会通过其他技术手段或在网络层进行劫持,使得即使设置了公共DNS,仍然无法完全避免被劫持的情况发生。
问题2:除了浏览器和网络设置方面的措施,还有其他方法可以应对中国移动的DNS劫持吗? 解答:还可以考虑使用虚拟专用网络(VPN),VPN可以通过建立加密的网络连接,将用户的网络流量通过VPN服务器进行转发,从而绕过运营商的DNS劫持,但需要注意的是,要选择合法合规、安全可靠的VPN服务,避免使用一些未经授权的VPN,以免带来其他安全风险,对于一些技术能力较强的用户,还可以尝试通过编写脚本或使用特定的网络工具来检测和应对DNS劫持,但这需要具备一定的专业知识和技能。
面对中国移动可能出现的DNS劫持问题,用户可以通过多种方式进行检测和应对,