如何自建DNS服务器，以避免DNS污染和DNS

1，必须具备固定IP，即使你不购买域名一样可以使用DNS来提供域名服务，因为DNS服务器里默认有13台位于美国国家信息中心的根域DNS地址。DNS服务器本身拨号或者能直连公网的情况下将首选DNS指向自己，客户机指向DNS即可。DNS不配置启动后会作为缓存DNS存在所有解析都是从根域获取的所以速度会很慢。

2，如果没有固定IP怎么搭建DNS都是无效的，最好的方式是指向到电信级别的有权威的DNS地址，电信起码会有3个以上的地址怎么可能都不稳定。

3，如何搭建DNS，WIN2003装好在控制面板添加删除组件找到网络服务勾选DNS服务器即可，同1只要能起来即可，百度文库里这方面的资料搜搜就有。

4，购买域名与不买域名的区别再于你是否需要为其他外部网络客户提供DNS解析服务，如果只是为自己服务不需要购买。

有效，但是效果感觉会比较有限。

效果有限是因为大多数广告投放类的劫持属于流量劫持而非DNS劫持(DNS劫持是长城常干的事，这里假定题主问的不是它，如果是的话，那么DNS请求它也经常拦截，效果也很有限。)。

大多数观测到的劫持都是直接的流量劫持，因为HTTP协议本身是不加密的明文，所以根本不需要劫持DNS，那样所有的流量都要经过他们的服务器，投入比较大；相反直接拦截请求并进行篡改或替换，这样效果好、投入的服务器低还可避免用户修改DNS的屏蔽。

同时，流量劫持相比DNS劫持还有一个好处：避免HTTPS出问题。

现在同时有HTTP和HTTPS版的搜索，如果他们用DNS劫持，那如果用户访问时就会遇到问题：要么用中间人攻击继续劫持(伪造证书)，要么当一个透明代理(转发所有流量)服务器，这当然是浪费服务器；而流量劫持虽然也无法在HTTPS下劫持，但可以完全不管，他们也没有任何损失。

综上所述，实际上劫持这种事儿，除了长城喜欢DNS劫持外，大部分的ISP基本上都是流量劫持，这种情况下改DNS和本机解析是无效的，所以所说的方法可能有效，但效果很难说

发现DNS服务存在问题需要修复，这个问题有可能是运行商的网络故障，也有可能是电脑DNS设置问题，需要逐一排查。

解决办法如下：

一、DNS服务器端的解决办法：

用户申请安装宽带上网服务时，网络服务商工作人员会提供或设置合适的DNS服务器地址。如果以前DNS服务正常，现在提示配置错误，则有可能是DNS服务器出现故障，或这个DNS服务器受到攻击，其DNS服务被劫持，这时需要及时向网络服务商客服报修。而在等待其处理过程中，还可自行更改其它正常的DNS服务器。如以下所列：

A、DNSPod DNS+：DNSPod的 Public DNS+是目前国内第一家支持ECS的公共DNS，是DNSPod推出的公共域名解析服务，可以为全网用户提供域名的公共递归解析服务！

DNS 服务器 IP 地址：

首选：119292929

备选：182254116116

B、114DNS：国内用户量巨大的DNS，访问速度快，各省都有节点，同时满足电信、联通、移动各运营商用户，可以有效预防劫持。

DNS 服务器 IP 地址：

首选：114114114114

备选：114114114115

C、阿里 AliDNS：阿里公共DNS是阿里巴巴集团推出的DNS递归解析系统，目标是成为国内互联网基础设施的组成部分，面向互联网用户提供“快速”、“稳定”、“智能”的免费DNS递归解析服务。

DNS 服务器 IP 地址：

首选：223555

备选：223666

二、路由器端的解决办法：

如果只是路由器端DNS配置错误（如DNS服务器端地址发生了改变）或用户路由器受到攻击导致DNS劫持，则需要及时修改路由器登录密码并将配置错误或被劫持的DNS服务器地址修改为正确的地址。同时，还要通过安装安全软件进行防DNS劫持。其具体操作为：

（1）输入路由器IP地址：在浏览器地址栏内输入路由器IP地址（可参阅路由器说明书或查看路由器背面铭牌上的说明），如：19216811，并回车。

（2）登录路由器：进入路由器登录界面后，输入登录帐号、密码（可参阅路由器说明书或查看路由器背面铭牌上的说明），一般均为：admin或boot。如果原来使用的是默认帐户和密码，则需要进行修改，并做好记录。

（3）设置DHCP：选择进入DHCP服务器选项卡，点选“启用”DHCP，设置好IP地址（地址池开始地址和结束地址可按默认值设置，其最大限值一般为19216812~1921681255，19216811保留为网关）、网关（一般就是路由器的IP地址如本例中的19216811）、DNS服务器地址（不同地区适用的DNS服务器地址不同，最好根据网络服务商提供的设置，也可设置为上述提供的公共DNS服务器）等相关参数并保存。

（4）重启路由器：设置完成后，要重启路由器才能生效，重启方法，在系统工具下面，选择“重启路由器”这一项即可。

三、电脑端的解决办法：

如果只是用户电脑DNS配置错误或受到攻击导致DNS劫持或DNS服务器设置错误，则在加强电脑端安全防护的同时，及时修改被篡改的DNS服务器地址。具体操作如下：

以WIN7无线网络设置为例：

（1）点击 “控制面板”——“网络和INTERNET”——“查看网络状态和任务”，选择连接了但无法上网的无线网络连接，在弹出窗口中点击其“属性”；

（2）点击无线网络连接属性窗口中的“Internet协议 （TCP/IPv4）——属性”；

（3）在“常规”选项卡"使用下面的IP地址"和“使用下面的DNS服务器地址”中配置好正确的IP地址、网关及DNS等参数（具体参数可查看路由器说明书或电话问询宽带供应商；如果路由器设置打开了DCHP，可自动分配正确的IP地址的话，则可将IP地址及DNS等均设置为“自动搜索获得”）。

（4）通过安全软件如360安全卫士加强安全防护。定期使用安全软件进行电脑体检、全盘查杀木马、病毒等操作。

dns设置最好最快的有：114DNS、阿里DNS、百度DNS服务。

1、114DNS

这是国内用户量数一数二的 DNS 服务器，该 DNS 一直标榜高速、稳定、无劫持、防钓鱼，然而去年却被曝出了配合运营商劫持用户投放广告的劣迹。14DNS 的速度和稳定性确实不错。

2、阿里DNS

阿里 DNS 是阿里巴巴在 2014 年上线的 DNS 服务，阿里 DNS 首页写的是稳定、极速和智能。析速度还算可以，但遇到一些网站就解析速度比较慢了。

3、百度DNS

这是百度公司提供的公共 DNS 服务，百度 DNS 主页写的是云防护、无劫持、更精准。云防护功能是基于百度的数据库对网址进行区分，当用户访问到被标记为不安全的站点时会被自动拦截。

基本介绍：

Internet上解决网上机器命名的一种系统。就像拜访朋友要先知道别人家怎么走一样，Internet上当一台主机要访问另外一台主机时，必须首先获知其地址，TCP/IP中的IP地址是由四段以分开的数字组成(此处以IPv4的地址为例，IPv6的地址同理)，记起来总是不如名字那么方便，所以，就采用了域名系统来管理名字和IP的对应关系。

DNS劫持又叫做域名劫持，指攻击者利用其他攻击手段，篡改了某个域名的解析结果，使得指向该域名的IP变成了另一个IP，导致对相应网址的访问被劫持到另一个不可达的或者假冒的网址，从而实现非法窃取用户信息或者破坏正常网络服务的目的。

DNS的作用是把网络地址对应到真实的计算机能够识别的网络地址，以便计算机能够进一步通信，传递网址和内容等。

由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常的DNS的IP。如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。

要执行DNS劫持攻击，攻击者要么在用户的系统上安装恶意软件，要么通过利用已知漏洞或破解DNS通信来接管路由器。攻击涉及破坏用户的系统DNS设置，以将其重定向到Rogue

DNS服务器，从而使默认DNS设置无效。要执行攻击，攻击者要么在用户的系统上安装恶意软件，要么通过利用已知漏洞或破解DNS通信来接管路由器。因此，用户将成为域欺骗或网络钓鱼的受害者。

怎么防止DNS劫持攻击

1、建议使用复杂的密码重置路由器的默认密码。

2、使用DNS注册器时使用双因素身份验证，并修补路由器中存在的所有漏洞以避免危害。

3、最好远离不受信任的网站，避免下载任何免费的东西。

4、如果您已被感染，建议删除HOSTS文件的内容并重置Hosts File。

5、为防止DNS劫持，始终建议使用良好的安全软件和防病毒程序，并确保定期更新软件。

6、安全专家建议使用公共DNS服务器。

7、最好定期检查您的DNS设置是否已修改，并确保您的DNS服务器是安全的。