DNS劫持

DNS劫持是破坏域名系统(DNS)查询解析的做法。这可以通过恶意软件覆盖计算机的TCP/IP配置以指向受攻击者控制的流氓DNS服务器，或通过修改受信任的DNS服务器的行为使其不符合互联网标准来实现.

这些修改可能出于网络钓鱼等恶意目的、互联网服务提供商(ISP)、基于公共/路由器的在线DNS服务器提供商的自我服务目的，以将用户的网络流量定向到ISP的自己的网络服务器，可以在其中提供广告、收集统计数据或ISP的其他目的；并由DNS服务提供商以一种审查形式阻止对选定域的访问。

其中的DNS服务器的功能是将转换域名为IP地址，该应用程序需要连接到Internet资源，如网站。此功能在各种正式的互联网标准中定义，这些标准非常详细地定义了协议。DNS服务器受到面向Internet的计算机和用户的隐式信任，可以将名称正确解析为Internet域所有者注册的实际地址。

在英国，信息专员办公室承认，非自愿DNS劫持的做法违反了PECR和EC数据保护指令95/46，这些指令要求明确同意处理通信流量。然而，他们拒绝干预，声称执行法律是不明智的，因为它不会对个人造成重大（或实际上任何）明显的损害。在德国，2019年有消息称，DeutscheTelekomAG不仅操纵其DNS服务器，还传输网络流量（例如用户未使用HTTPS时的非安全cookie)给第三方公司，因为Web门户T-Online用户因DNS操作而被重定向到该门户，它不再（不再）归德国电信所有。在用户提起刑事诉讼后，德国电信停止了进一步的DNS操作。

负责管理xxx域名的国际机构ICANN发布了一份备忘录，强调了其关注的问题，并确认：

ICANN强烈反对在现有gTLD、ccTLD和DNS树中注册级域名的任何其他级别中使用DNS重定向、通配符、合成响应和任何其他形式的NXDOMAIN替换。

最终用户对cookie等糟糕的“选择退出”选项不满意，已通过寻找避免欺骗NXDOMAIN响应的方法来回应争议。BIND和Dnsmasq等DNS软件提供过滤结果的选项，并且可以从网关或路由器运行以保护整个网络。谷歌等公司运行目前不返回欺骗结果的开放式DNS服务器。因此，如果用户愿意接受根据Google的隐私政策使用该服务，并且可能会暴露于Google可以跟踪用户的另一种方法，则用户可以使用Google公共DNS而不是其ISP的DNS服务器。这种方法的一个限制是某些提供商会阻止或重写外部DNS请求。开放式DNS由Cisco所有，是一种类似的流行服务，它不会改变NXDOMAIN响应。

谷歌于2016年4月推出了DNS-over-HTTPS服务。该方案可以克服传统DNS协议的局限性。它执行远程DNSSEC检查并将结果传输到安全的HTTPS隧道中。

还有一些应用程序级别的变通方法，例如NoRedirectFirefox扩展，可以减轻某些行为。这样的方法只能修复一个应用程序（在本例中为Firefox），而不会解决任何其他问题。网站所有者可能能够通过使用某些DNS设置来欺骗一些劫机者。例如，在其通配符地址（例如*.example.com）上设置“未使用”的TXT记录。或者，他们可以尝试将通配符的CNAME设置为“example.invalid”，利用根据RFC保证不存在“.invalid”这一事实。这种方法的局限性在于它只能防止对那些特定域的劫持，但它可能会解决由DNS劫持引起的一些VPN安全问题。