域名DNS污染又是DNS劫持或DNS缓存投毒，属于一种恶意篡改DNS解析记录的行为。用户访问域名时会被重定向到错误IP地址。这种攻击会破坏正常网络海外会引发数据泄露、恶意软件感染等安全风险。要清除DNS污染要多手段长期防护。

一、更换权威公共DNS服务器

遭受DNS污染时，首要措施是替换不可靠的本地或ISP提供的DNS服务器。推荐采用具备安全加固机制的公共DNS服务。

二、彻底清除各级DNS缓存

污染记录常驻留于缓存中，需分层清理：

1. 本地操作系统缓存：

Windows：`cmd`执行`ipconfig /flushdns`

Linux（systemdresolved）：`sudo systemdresolve flushcaches`

macOS：`sudo killall HUP mDNSResponder`

2. 浏览器缓存：Chrome、Firefox等需在设置中清除DNS Cache及Cookie

3. 路由器缓存：重启路由器或登录管理界面清除DNS记录

4. 递归服务器缓存：若为企业自建DNS（如Bind、Unbound），需重启服务或执行

rndc flush

三、部署DNS加密协议

传统DNS查询使用明文UDP传输，易被劫持。加密协议可确保查询完整性：

DNS over HTTPS (DoH)：通过443端口加密传输。

DNS over TLS (DoT)：使用853端口TLS加密，适合路由器全局部署。

DNSCrypt：通过`dnscryptproxy`与可信解析器建立加密通道，支持证书验证。

主流浏览器（Chrome/Firefox）均内置DoH开关，Windows 11可在“网络设置>DNS选项”中启用加密。

四、使用网络隧道技术绕过污染

当区域级DNS污染严重时，需通过隧道规避：

私人网络服务：加密所有流量（含DNS），出口节点使用洁净DNS。选择无日志策略服务商。

代理服务器：HTTP/SOCKS5代理可隔离DNS查询，Shadowsocks等支持防污染模式。

Tor网络：通过多层中继隐匿查询源，但延迟较高，适用于敏感场景。

五、Hosts文件定向解析

针对关键域名的应急修正获取正确IP：通过海外VPS执行`dig example.com @1.1.1.1`或使用在线DNS检查工具。编辑Hosts文件：

Windows：`C:\Windows\System32\drivers\etc\hosts`
Linux/macOS：`/etc/hosts`
添加记录
192.0.2.1 example.com（需管理员权限保存）

此方法仅适用于少量域名维护，且需随IP变更手动更新。

六、启用HTTPS与证书验证

即使DNS被污染，HTTPS可阻断内容篡改。部署HSTS策略，强制浏览器建立TLS连接，启用证书钉扎（HPKP），防止攻击者使用伪造证书。用户访问时需确认地址栏为`https://`且证书有效，浏览器扩展（如HTTPS Everywhere）可辅助加密访问。

七、系统与网络安全加固

根除污染源并预防复发：

全盘杀毒扫描使用Malwarebytes、Kaspersky等工具清除DNS劫持类木马（如DNSChanger）。更新补丁修复操作系统、路由器固件的DNS相关漏洞（CVE202144228等）。防火墙规则阻断对外部恶意DNS服务器（如已知IP）的访问请求。权限管控包括限制路由器管理界面访问，禁用WPS等脆弱协议。

定期通过`nslookup`或在线工具（如BOCE）验证解析结果；业务系统建议部署本地递归解析器（Unbound+DNSSEC验证），减少对外依赖；企业级场景可启用EDNS Client Subnet提升解析精度。当污染涉及国家防火墙等不可抗力时，需评估隧道方案合规性。综合应用上述措施，可系统性清除污染并构建抗污染DNS架构，保障网络访问的真实性与安全性。