当网页打不开时：快速判断是 DNS 问题还是网络劫持的实战指南

大家好，我是33blog的技术博主。今天想和大家聊聊一个特别常见但又让人头疼的问题——当你发现某个网站突然打不开时，怎么快速判断到底是DNS解析出了问题，还是遭遇了网络劫持？这个问题我遇到过太多次了，每次都能看到群里有人为此争论不休。

1. 先来点基础知识

在开始之前，我们先简单了解一下这两个概念的区别。DNS问题就像是电话簿出了问题——你知道要找谁（域名），但找不到正确的电话号码（IP地址）。而网络劫持则像是有人偷偷改了你的电话簿，或者在你打电话时强行插话。

我去年就遇到过一件有趣的事：某天突然发现访问GitHub特别慢，一开始以为是DNS问题，折腾了半天才发现是运营商在搞鬼…

2. 基础排查三板斧

遇到网站打不开，我通常会按照这个顺序排查：

# 1. 先ping一下
ping example.com

# 2. 然后试试nslookup
nslookup example.com

# 3. 最后用curl看看HTTP响应
curl -v https://example.com

这几个命令组合起来用，基本就能判断个八九不离十了。记得有一次帮朋友排查问题，发现ping能通但网页打不开，最后发现是本地hosts文件被恶意修改了——这种问题用nslookup一查就能发现。

3. 进阶判断技巧

如果基础方法还无法确定，我会用这些进阶方法：

• 更换DNS服务器：把DNS改成8.8.8.8或1.1.1.1再试
• 使用国外代理：有时候能绕过本地运营商的劫持
• 检查SSL证书：劫持经常伴随着假证书

有个小技巧分享给大家：在Chrome里按F12打开开发者工具，到Security标签页查看证书信息。有一次我就是这样发现了一个伪装得很好的钓鱼网站。

4. 那些年我踩过的坑

说几个我遇到过的奇葩情况：

1. 本地DNS缓存污染：清空缓存后就好了
2. 路由器被黑：自动修改了DNS设置
3. 公司网络策略：偷偷重定向某些网站

最夸张的一次是某ISP的”智能DNS”服务，把不存在的域名都解析到他们的搜索页面上，害得我排查了半天…

5. 终极解决方案

经过这么多年的折腾，我的建议是：

# 使用DoH/DoT加密DNS查询
# 比如在Linux下：
sudo apt install stubby
sudo systemctl enable --now stubby

自从用了加密DNS，这类问题少了很多。不过要注意，有些网络环境会主动拦截加密DNS查询，这时候可能就需要上VPN了。

希望这篇文章对你有帮助！如果你有更奇葩的遭遇，欢迎在评论区分享～