域名被劫持，启用 SSL 和 DNSSEC 都不行，啥情况

域名被反诈了有可能。

只能打电信投诉没有其他办法了吧？
1. 打电话投诉也无解
3. 域名备案+服务器迁到国内可解

反诈+1 别想了

@Kinnice 不应该啊，我记得反诈是跳到一个反诈页面，这个是直接跳到别人网站去了。而且我换了域名也很快被劫持总不会是 ip 被污染了吧，如果是 ip 被污染指定 ip 的域名都被劫持那么是不是换个新 ip 和新地址就解决了呢

@fvladlpa 谢谢，但是是跳到另外另外一个别人的网站不是反诈网站。换了地址也很快被劫持这就不应该啊，而且我过一次解析到 cf 就不会了，会不会因为是 ip 被污染所以换域名没用

启用了 SSL 还被劫持？？那还要造什么墙啊，全部给你中间人不就好了？
你查查是不是你本机被装了什么不干净的软件

@yushiro 不会的，我用在线 ping 工具查询显示的也是被劫持，极少个别地区被劫持，不可能别人也装了不干净的软件吧，这个是在网络层出现的劫持

运营商的 dns 缓存？ 净网云剑 微信小程序查查你的域名呢

所以你的域名是啥

到底是域名解析结果就有问题还是域名解析结果是对的只是最后跳转到了别人的网站？ SSL 仅仅是验证和保证你和已经连接的服务器通讯是否正常，DNSSEC 需要客户端使用的 DNS 支持才行。你可以在现有域名上做一个其他的二级域名解析一个其他的 ip ，观察一下这个域名在你说的区域劫持是否正常。还有就是最好找一些你觉得有问题区域的宽带实际测测，像 ping 网站 这种检测不一定准确也就是仅仅就是他用的 DNS 可能有问题

SSL 对 DNSSEC 对运营商级别的域名劫持都无能为力

DNSSEC 是在递归 DNS 上验证的，当然也可以选择传播到终端设备。如果递归 DNS 服务器开启了验证，那么 DNSSEC 校验不通过，会向终端设备返回 Server Fail 。如果终端设备开启了 DNSSEC 验证，那么会尝试获取递归 DNS 传播的 DNSSEC 记录，获取不到就无法上网。由于很多企业网络的 DNS 选择不传播，所以大多数系统的 DNS 都是默认关闭 DNSSEC 校验的。这样的话，如果运营商要搞你，在自己的递归 DNS 上设置不验证你的 DNSSEC 就可以劫持你的网站了。

SSL 也没有用，因为你的 DNS 已经被劫持到其他服务器了。你的服务器根本没有 SSL 握手信息。而劫持服务器只要不开启 HTTPS 端口，只开 HTTP 端口，就可以让浏览器 fallback 到未加密的 HTTP 。即使有 HSTS ，如果没有加入浏览器的 HSTS Preload List ，那么因为缺少第一次请求传递 HSTS Header 的过程，也会被劫持。除非用户开启浏览器的 HTTPS Only 模式，才会显示 CONNECTION RESET 。

@acbot 非常感谢您的建议，我反复测试了确实有你说的检测不准的情况。但是有个疑问我测试多个 ping 网站这些网站返回的 ping 结果确实都有个别地区解析到其他 ip 的情况(而且都是同一个 ip)，但是这些被劫持的地区节点我单独拧出来单独 ping 却有发现返回 ip 正常了。可是我之前明明没有测试过排除了是缓存的情况。我测试 ipip 和 17ce 和 boce 这三个网站都是一样。第二次单独拧出来 ping 就正常的，那么结论是不是运营商只劫持用户第一次请求呢？毕竟后面用户会缓存 dns 。而工具我猜第二次请求是强制无缓存的所有第二次 ping 就变成正常的呢

@baobao1270 对的，感谢您的科普，HSTS 相当于就是老用户(访问过一次)可以不被跳转。而新用户是无效的。我没有开启 hsts ，所以现在不管新老用户只要被劫持打开地址就会提示不是私密链接(谷歌和火狐浏览器是这样)但不会被跳转，刚开始我还以为是我证书被篡改了。而像 360 uc 这种浏览器器虽然也不会但是可以点击继续访问就可以跳转到劫持者的网站去了，所以我觉得谷歌火狐浏览器在安全性这一块才是最合理安全的

@function2256 因为 ping 网站实现方式不一定相同所以不准的原因很难说清楚！