騰訊雲DNSPod大眾號發文，表示近期監測到大量家用路由器的DNS解析配置被篡改，從而影響到了正常的網站和APP訪問。據介紹，該情況於2024年5月開始出現，8月5日集中爆發達到高峰。

截止8月7日，經過測試確認，導致本次故障大規模爆發的網域在異常DNS伺服器上已經恢復。

但受TTL及客戶端本地快取的影響，客戶端的恢復時間會有一定的延遲性。

據了解，正常情況下，使用者造訪網站或APP時，會向DNS伺服器發送請求，解析網站網域對應的IP位址。

DNS伺服器會傳回正確的IP位址，使用者的裝置與目標伺服器建立連線並存取網站。

但在DNS劫持攻擊中，惡意DNS伺服器會回傳錯誤的IP位址，導致使用者造訪到錯誤的網站或無法存取目標網站。

騰訊也給出瞭如何自查路由器DNS被修改的方法。

首先檢查路由器的主DNS配置是否被修改為了類似以下IP（包括但不限於以下IP），如果被修改為了以下IP，並且輔DNS被改為1.1.1.1，基本可以確定家用路由器DNS被劫持篡改。

若路由器上設定的DNS伺服器IP不在上方清單中，使用者可透過以下典型特徵來確認其DNS劫持行為。

1.網域解析記錄TTL被修改為86400秒，即網域解析記錄都會快取1天。

可在一台能存取公網的終端機（如Mac電腦或Linux雲端伺服器）執行指令檢查：dig @122.9.187.125 dnspod.cn

其中122.9.187.125為範例IP位址，用戶可將其替換為家用路由器DNS伺服器的IP位址。

2.間歇性有大量網域無法正常解析的問題，回傳NXDOMAIN+錯誤的SOA記錄，而不是傳回正常的A記錄或CNAME記錄。

可執行指令檢查：dig @122.9.187.125 test.ip.dnspod.net

其中122.9.187.125為範例IP位址，用戶可將其替換為的家用路由器DNS伺服器的IP位址。

3.DNS版本為unbound 1.16.2。

可執行指令檢查：dig @122.9.187.125 version.bind chaos txt

其中122.9.187.125為範例IP位址，用戶可將其替換為家用路由器DNS伺服器的IP位址。

若確認遇到上述情況，建議升級家用路由器韌體，並修改DNS伺服器為營運商遞歸DNS或119.29.29.29等知名公共DNS，以確保能夠正常解析。