最近 dns 总是被劫持，有什么方法可以一劳永逸的避免？

先排查源头在说吧。

doh

你是不是想问怎么劫持 dns ？

@bclerdx 怎么排查？

https+DoH/DoT 可解，未必都是运营商的锅，某路由器也会自插劫持广告。

@fancy111 我是想问我这个情况 dns 是怎么被劫持的

@cev2 有的网站不支持 https，没法用。我知道不是运营商的问题，不过路由器用了好几年了没道理现在才出问题，又没升级什么的。

@bgwzh 就是运营商劫持的啊，具体是他们自己人搞的还是别人，谁知道呢
没办法避免，你用的是他的线路

@bgwzh
1，如果确实是 DNS 导致的，PC 端 360 极速可开启 DoH，可进行排除；
2，如果手机端访问网站会自动跳转到淘宝、支付宝且剪贴板带有推广口令，但 4G 下没有，DNS 、js 脚本都有可能，反正某跑路路由器会这样劫持，这种情况还是直接通过浏览器安装 ABP 之类的扩展屏蔽吧。

劫持常见两种：dns/http
dns 一般用 tcp 可以解决（解决污染是另一个话题），借助工具
http 的话两种方法
1.经过一个可控 proxy，在 proxy 内过滤解决
2.禁止跳转，或者白名单，这种会出现刷新才能访问的情况，但频率很低

简单且一劳永逸当然是借助傻瓜式工具……缺点是对这个工具会产生依赖性

dns over https

@imn1 什么工具？

@bgwzh #12
我比较少直接用一个工具，可能爱折腾吧
dns 我用 stubby+unbound，前者做 DoT，后者做 cache/filter/分流
proxy 就长年用 privoxy，filter/分流 /自我劫持

一体化工具本站提的最多的就是 adguard 吧，但我没用过

@imn1 你这用法一个 unbound 就够了不用 stubby 啊

@06_taro #14
是的
一言难尽，当时半夜三点装的，装了几个都没搞懂配置，没打通，就这两货开箱即用，就改了一个 ip 和一个端口，就直接通 DoT 了，睡觉……
unbound 的配置记得是一周后才开始慢慢优化配置的

移动的话非商业就忍一忍实在忍不了 换 dns 或把 dns 换成路由管理页面 ip

@XMD 真 DNS 劫持这样换是没用的，终端换成路由网关的 IP 和系统默认自动获取 DNS 没有任何区别，因为原理上网关会原样转发 53 端口请求不作任何修改。
终端换 DNS 只对运营商不劫持 DNS 时有效，只能上 DoH/DoT 解决，但凡有其它方法，也不可能逼得发明出 DoH/DoT 来。

https 劫持的时候，浏览器不是会有警告吗

你先确定这个现象是 dns 劫持导致的.
"打开一个网站总会跳到另一个网站",这不表明一定是 dns 劫持.

@cev2 用其他端口的 dns 呢 opendns 的 5353 端口

我是用 Clash 的 fake-ip 。

如果想解决 DNS 污染的问题，试试 https://github.com/missdeer/coredns_custom_build

@850521109 #20 用非标准端口可以解决一时，一旦成规模后某端口的下场只会成为第二个 53，根本原因还是 DNS 请求未加密，而且客户端改 DNS 端口的活也不漂亮。
加密 DNS 在 DoT/DoH 之前就有了，所以缺的不是方法而是规范。DoT 的活干得比较彻底，目标是朝着替代系统旧 DNS 来的，道阻且艰，一步步来吧。DoH 活干的就比较偷巧，依附于普遍的 Https 协议，需要搭配旧 DNS/DoT 等使用，算是在 DoT 普及前的缓冲吧，内置于应用中无痛支持挺好的，目前像 Chrome/Edge/360 极速等浏览器都内置了，一键开启无痛切换 DoH 。

dns over vpn