作者：余弦，

我下面的步骤是纯人工的（会更有自我把控的感觉），虽然我们也准备了工具（建议结合着），看如下专题：

http://http://zhanzhang.anquan.org/topic/dns_hijacking/

1. 检查DNS是否正常

拿TP-Link举例，浏览器访问
http://192.168.1.1（一般是这个，除非你改了），输入账号密码登录->网络参数->WAN口设置->高级设置->看看里面的DNS的IP是否勾选了“手动设置DNS服务器”。

->如果勾选了，说明你人工设置过。如果你并没人工设置过，那就得警惕是否被黑客篡改了。
->如果没勾选，一般没事。
->检查DNS IP是否正常：在百度上搜索下里面的DNS IP看看是不是国内的，如果是国外的得警惕，除非是Google的8.8.8.8这个，看看百度的搜索结果有没有谁讨论过这个DNS IP的可疑情况，有些正常的DNS IP也会有人讨论质疑，这个自己判断下，实在没把握你就设置DNS IP如下：

主DNS服务器为：114.114.114.114，备用DNS服务器为：8.8.8.8。

对于TP-Link还有一处设置DNS的地方：DHCP服务器->一般这里显示的是0.0.0.0，如果不是，则按上面方式检查下DNS IP是否正常。

（这里大家注意下：修改DNS请修改DHCP服务器里的，当DHCP没有设置DNS的时候，是继承WAN口的DNS的。如果DHCP设置了DNS，WAN口怎么改都没有用的，改WAN口可能导致别人网络故障，这个我不清楚。感谢@iceyes汪利辉 的提醒。顺便八卦下iceyes的路由安全也是研究很深入的。）

其他品牌的路由器类似这样的方法去做，这个自己摸索啦，很简单的。

如果发现被攻击的痕迹，重置路由器是个好办法，然后再进入下面步骤。

2. 修改路由器Web登陆密码

路由器一般都会有Web管理界面的，这个管理界面的登陆密码一定要记得修改。一般情况下，默认用户名是admin，密码是admin，把密码修改复杂点就行。

还是以TP-Link举例，浏览器访问
http://192.168.1.1（一般是这个，除非你改了），输入账号密码登录->系统工具->修改登陆口令->然后你修改吧。

其他路由器类似，自己摸索。

3. 自己电脑配置好DNS

自己的电脑当然可以配置好DNS，这样就可以忽略路由器的各种DNS配置，你的上网请求会优先选择你本机的DNS配置，意味着路由器DNS劫持和你没任何关系。

不过得注意，你的路由器是不是只有你自己的电脑连接，你的手机呢？你的Pad呢？你的家人呢？每个都配置，多麻烦，所以还是照顾好路由器吧。

现在普遍信任的DNS服务器是，国内的114.114.114.114，国外Google的8.8.8.8，但如果这两个受信任的DNS服务器有猫腻的话，比如抓取用户上网隐私，然后牟利分析，那我们一定要曝光并狠狠抗议之- -！！！

完成1、2、3这几步后，就可以对抗近一年流行的路由器DNS劫持攻击了。

我给出的方法很简单了，假如你单身的话，帮身边的人解决，说不定会找到另一半。不用知道我是谁，请叫我雷锋；）

我更担忧的是高级攻击的到来，固件安全是个大话题，不仅路由器，还有网络摄像头，还有一些智能家居设备等，我给出的防御方案只是针对某种流行类型的，指不定下次会有新的流行方式出来。

黑客间的对抗一直在激烈进行，持续升温，你攻我防，你再攻我再防，一劳永逸是不可能的，唯有持续跟进。

害羞地说句：让大家赶紧关注我这个微信公众号（lazy-thought）吧；）我有大家想象不到的素材，我代表知道创宇安全研究团队会逐渐给大家科普！并及时预警安全事件！

题图是letio的作品“武装分子”，在这样危险的网络环境，我们得武装自己。

----------------------------
余弦，黑客，来自知道创宇的懒人。
在微博、知乎、豆瓣、GitHub、我的博客（
http://http://evilcos.me）等都可以找到“余弦”。
欢迎感兴趣的人收听我这个微信公众号：“lazy-thought”。

———————————————

发自知乎专栏「
懒人在思考」

转载请注明：微图摘 » 个人如何防御近一年流行的路由器DNS劫持攻击 - 懒人在思考专栏