DNS(Domain Name System)就像網路的電話簿，把我們輸入的網域名稱(例如 google.com)轉換成電腦能理解的IP位址。但如果這個「電話簿」被竄改，使用者輸入的網址可能會被導向惡意網站，這就是 DNS劫持(DNS Hijacking)。

DNS劫持的攻擊方式

1. 惡意DNS伺服器
   駭客建立或入侵一個DNS伺服器，讓它回傳錯誤的IP位址，把流量導向釣魚網站或惡意伺服器。
2. 本地端修改
   惡意程式直接修改使用者電腦上的 hosts 檔或DNS設定，讓電腦查詢到錯誤的IP。
3. 路由器被入侵
   如果家用或公司路由器被駭，駭客可以修改DNS設定，導致所有連到該路由器的設備都被導向假網站。
4. ISP層級的DNS劫持
   駭客可能攻擊網路服務供應商(ISP)的DNS伺服器，甚至在極端情況下，ISP本身也可能竄改流量，例如插入廣告。

DNS劫持的危害

1. 個資竊取：駭客引導使用者到假銀行、假購物網站，竊取帳號密碼或信用卡資訊。
2. 惡意程式散播：使用者被導向惡意網站，自動下載木馬或病毒。
3. 隱私侵犯：流量被監控或竊聽，用戶行為被追蹤。
4. 大規模影響：若ISP或企業DNS伺服器遭攻擊，可能影響成千上萬的使用者。

如何防範DNS劫持？

1. 使用可信的DNS服務
   選擇公共DNS(如 Google DNS 8.8.8.8 或 Cloudflare DNS 1.1.1.1)來降低風險。
2. 啟用DNS over HTTPS (DoH)或 DNS over TLS (DoT)
   透過加密方式傳送DNS查詢，避免查詢內容被竊聽或篡改。
3. 加強路由器安全
   修改預設帳號密碼、定期更新韌體，避免駭客入侵。
4. 安裝防毒軟體與防火牆
   阻擋惡意程式修改本地DNS設定。
5. 監控DNS流量
   在企業環境中，可透過安全監控系統檢查DNS查詢是否被竄改。

真實案例
2018年，巴西發生過大規模 DNS劫持攻擊，駭客入侵家用路由器，將DNS設定改為惡意伺服器，結果數十萬名用戶在輸入銀行網址時，全都被導向假銀行網站，帳號與密碼被大量竊取。

結語
DNS就像是網路的導航系統，一旦遭到劫持，使用者可能在不知情的情況下被導向惡意網站，進而輸入帳號密碼、個人資料，甚至下載惡意程式，造成嚴重的資安風險。這類攻擊隱蔽卻危害巨大，因此我們除了選擇可信任的DNS服務外，也需要養成良好的安全習慣，例如檢查瀏覽器的安全憑證、確保路由器與系統設定沒有被竄改，並搭配加密的DNS查詢方式，才能降低在日常上網過程中誤入陷阱的可能性。