DNS（域名系统）的作用是把网络地址（域名，以一个字符串的形式）对应到真实的计算机能够识别的网络地址（IP地址），以便计算机能够进一步通信，传递网址和内容等。由于域名劫持往往只能在特定的被劫持的网络范围内进行，所以在此范围外的域名服务器(DNS)能够返回正常的IP地址，高级用户可以在网络设置把DNS指向这些正常的域名服务器以实现对网址的正常访问。所以域名劫持通常相伴的措施——封锁正常DNS的IP。
     如果知道该域名的真实IP地址，则可以直接用此IP代替域名后进行访问。比如访问百度域名，可以把访问改为202.108.22.5，从而绕开域名劫持 。
应对方法：
     DNS劫持(DNS钓鱼攻击)十分凶猛且不容易被用户感知，曾导致巴西最大银行巴西银行近1%客户受到攻击而导致账户被盗。黑客利用宽带路由器的缺陷对用户DNS进行篡改——用户只要浏览一下黑客所掌控的WEB页面，其宽带路由器的DNS就会被黑客篡改，因为该WEB页面设有特别的恶意代码，所以可以成功躲过安全软件检测，导致大量用户被DNS钓鱼诈骗。
     由于一些未知原因，在极少数情况下自动修复不成功，建议您手动修改。同时，为了避免再次被攻击，即使修复成功，用户也可按照360或腾讯电脑管家提示的方法修改路由器的登录用户名和密码。下面以用户常用的TP-link路由器为例来说明修改方法（其他品牌路由器与该方法类似）。
手动修改DNS
     1．在地址栏中输入：http://192.168.1.1 （如果页面不能显示可尝试输入：http://192.168.0.1)
     2．填写您路由器的用户名和密码，点击“确定”
     3．在“DHCP服务器—DHCP”服务中，填写主DNS服务器为百度提供的公共DNS服务IP地址：180.76.76.76，备用DNS服务器为DNSpond提供服务IP为119.29.29.29，点击保存即可。
修改路由器密码
     1．在地址栏中输入：http://192.168.1.1 （如果页面不能显示可尝试输入：http://192.168.0.1）
     2．填写您路由器的用户名和密码，路由器初始用户名为admin，密码也是admin，如果您修改过，则填写修改后的用户名和密码，点击“确定”
     3．填写正确后，会进入路由器密码修改页面，在系统工具——修改登录口令页面即可完成修改（原用户名和口令和2中填写的一致）
预防DNS劫持
     其实，DNS劫持并不是什么新鲜事物，也并非无法预防，百度被黑事件的发生再次揭示了全球DNS体系的脆弱性，并说明互联网厂商如果仅有针对自身信息系统的安全预案，就不足以快速应对全面而复杂的威胁。因此，互联网公司应采取以下措施：
     1、互联网公司准备两个以上的域名，一旦黑客进行DNS攻击，用户还可以访问另一个域名。
     2、互联网应该对应急预案进行进一步修正，强化对域名服务商的协调流程。
     3、域名注册商和代理机构特定时期可能成为集中攻击目标，需要加以防范。
     4、国内有关机构之间应该快速建立与境外有关机构的协调和沟通，协助国内企业实现对此事件的快速及时的处理。
DNS劫持变种
     上周百度搜索上线了一个非常重要的策略，如果发现有网站被植入恶意篡改用户路由DNS的代码时，就会拦截页面，打出提示！据安全联盟的统计发现过万的网站被黑，植入了路由DNS劫持代码，这个数量非常之大。
     过去一段时间，知道创宇安全研究团队就捕获了至少5个变种。这类攻击的模式一般是：
     1．攻击者黑下一批网站；
     2．攻击者往这批网站里植入路由DNS劫持代码（各种变形）；
     3．攻击者传播或坐等目标用户访问这批网站；
     4．用户访问这些网站后，浏览器就会执行“路由DNS劫持代码”；
     5．用户的家庭/公司路由器如果存在漏洞就会中招；
     6．用户上网流量被“假DNS服务器”劫持，并出现奇怪的广告等现象；

     虽然这次攻击主要针对Tp-Link路由器，不过中招的路由不仅TP-Link！对此安全联盟推出DNS劫持专题[1] ，为网民及站长提供详细解决方案。

     以上来自百度百科。

     那么了解DNS劫持，相信很多做WEBq前端与JAVA后端，以及运维的中都碰见过DNS劫持，那么有哪些方法以及那么工具，我一一为你们解答！

运行nslookup
     如果你当前的DNS服务器正常工作，返回的结果应该是你自己的DNS服务器。随便解析一个网站，比如www.microsoft.com
应该返回的是正常的地址然后再解析一个不存在的网站，比如
     adfasdf.fljalfjsd.com.cn如果返回的结果是DNS request timed out.timeout was 2 seconds.
     那么证明你的DNS没有被劫持如果返回的结果是一个IP地址，比如说网通的返回地址是123.xxx.xxx.xxx，那么证明你的DNS被劫持了。
     请检查以下设置：
     1. 右键点击我的电脑，点击属性
     2. 点击计算机名
     3. 点击其他
     4. 检查“此计算机的主DNS后缀”设置，默认情况下这一设置应该是您的域名（比如Microsoft.com）
     5. 打开网络链接
     6. 右键点击网络链接并点击属性
     7. 双击TCP/IP
     8. 点击高级，并点击DNS属性页
     9. 检查“附加主要的连接特定的DNS后缀”选项，默认“附加主DNS后缀的父后缀”是被选中的
     10.检查此连接的DNS后缀内是否设置了内容，默认为空
     11.HOSTS文件被修改也会这样，你可以在C:\Windows\System32\drivers\etc用记事本打开hosts文件看是否被添加了相关的网址和IP信息，默认的应该只有一个127.0.0.1
修复：
     由于DNS被强制修改，kaspersky不能访问，可以尝试其它厂商的在线杀毒。DNS上清理缓存，并执行 ipconfig/flushdns，客户端上也执行该命令，在测试看看。
     另：有的时候可以在浏览器中直接输入IP地址，而不是域名。请尝试！如果IP段被劫持，可以更换IP来解决。或者用360或者电脑管家进行修复，或者电脑急救箱。