有没有什么办法可以检测宽带是否劫持了 DNS？

这个不是检测本地 DNS ，而是根据你的 IP 跟你推荐最快的 DNS

现在的宽带都搞 http 劫持，不管你用什么 DNS ，直接给你返回的 http 里插东西，跟墙差不多了

@tntsec

dnspod 描述是“您当前使用的 dns ： XXXXXX ”这个准确吗？

http 劫持已经无感了。就想知道我现在是不是被劫持了 53 端口。

到 DNSPOD 为不存在的域名添加一个解析，然后 dig 域名 @dnpod.ns 地址 测试一下就知道了。
未被劫持的能解析出来你配置的地址，否则可能返回空，也可能返回域名纠错服务的 ip 。

@gamexg

好吧。这就去试试。

kali 运行起~~

很简单：
nslookup www.v2ex.com. 2.2.2.2

如果这样都能返回 ip 地址，那铁定是完全劫持了。

不过刚才测了一下中国移动的，貌似并不是完全劫持，查询广州和上海电信的 dns ，能返回当地最优的 ip 地址。而将 2.2.2.2 这样并没有 dns 服务的地址当服务器查询，无法返回 ip ，但 8.8.8.8 是肯定被劫持了的。

@MSDOS 已试过，我只想说呵呵。截图已 Append

那么有什么常用的防劫持方案呢？

@anubu 用非 53 端口

@cevincheung
检测结果不准确
您的 DNS 地址信息: 60.215.138.167 xxxxxx 联通
您的 DNS 设置正确

但设置的并不是这个 DNS 地址,而且这个地址不能用。用的 linux 系统

@CinderellaCiCi
一样不对
您的 DNS ：
60.215.138.163
网通_山东省_莱芜市

您的 DNS 配置正确！

命令行输入 nslookup whether.114dns.com 114.114.114.114 ，如果返回的结果有 127.0.0.X ，说明您的 ISP 劫持了 114DNS ，导致您无法使用 114DNS 的服务

在线检测原理是自建 NS ，你访问页面的时候需要加载一个随机生成的子域名，这时候你的 DNS 为了解析这个子域名必须去请求它的 NS 服务器，找到试图解析这个子域名的 DNS 请求来自于哪个 IP ，就知道你的实际 DNS （包括被劫持之后）是什么了

dnscrypt-proxy + unbound

针对 udp53 直接投毒的 只能走非 53 端口 或者用 tcp 方式进行 DNS 查询

@lanlanlan windows 不能修改 DNS 查询走 TCP ，只能改 DLL 。。。所以还是在本机或路由器上装软件。

@cevincheung 装吧 也是没办法的事情。 这种宽带能换就换了吧

@一个不存在的 dns ip 地址，如果有数据正确返回，。。。。。

ip.dnspod.cn 这个 DNSPod 的在线监测，是检测的出口 IP 地址以及 DNS 的后端出口 IP 地址，并不是检测的 DNS 的入口地址。
原理很简单，就是设置多个子域名， ns 指向一个抓包服务器，在网页上检测的时候会对这些子域名进行解析，抓包服务器就抓到了 dns 的后端出口 IP 地址。