嘿，这个问题真的戳中了很多用户的痛点——不少ISP确实会悄悄把你设置的公共DNS（比如Cloudflare 1.1.1.1、Google 8.8.8.8）重定向到他们自己的服务器，我来给你掰扯清楚他们是怎么操作的，以及你能怎么应对：

ISP是怎么实现重定向的？ #

• ARP欺骗/缓存投毒：如果你是在局域网环境里，ISP可能会篡改本地的ARP缓存表，把公共DNS的IP地址映射到他们自己服务器的MAC地址上。这样一来，你发送给1.1.1.1的DNS请求，就会被偷偷转到ISP的服务器，而不是真正的Cloudflare DNS。
• 路由劫持：在ISP的骨干网络层面，他们直接修改路由条目，把所有指向公共DNS IP的流量，强制转发到自己的DNS服务器。这种操作属于网络层的拦截，普通用户基本没法直接察觉到。
• 透明DNS代理：这是最常见的手段。ISP在网关位置部署了透明代理，不管你设置的DNS服务器是哪个，所有发往53端口（DNS默认通信端口）的流量都会被这个代理截胡，转由ISP的DNS服务器处理。你甚至不会感觉到自己的连接被改动了。
• NXDOMAIN重定向（变种）：还有一种情况，当你请求一个不存在的域名时，ISP会把请求重定向到他们的广告页面，虽然这不算直接替换你设置的公共DNS，但本质也是对DNS流量的干预。

怎么防范这种重定向？ #

• 启用DNS over HTTPS (DoH) 或 DNS over TLS (DoT)：这两种协议会把DNS请求加密后通过HTTPS或TLS传输，ISP没办法轻易拦截和解析请求内容。比如Cloudflare的DoH服务可以直接在浏览器或系统设置里开启，对应的地址是https://cloudflare-dns.com/dns-query；DoT则可以用853端口连接1.1.1.1。
• 修改DNS通信端口：很多ISP只拦截默认的53端口流量，你可以尝试使用公共DNS提供的非标准端口。比如Google DNS支持853端口（DoT），Cloudflare也支持443端口（DoH），把你的DNS设置改成对应端口就能绕开部分拦截。
• 使用VPN连接：连上VPN后，你的所有网络流量都会通过VPN服务器转发，ISP没办法再拦截或篡改你的DNS请求，相当于直接绕开了ISP的网络干预。
• 检查并绑定ARP缓存：在Windows上可以用arp -a命令，Linux/macOS用arp -n命令，查看公共DNS的IP对应的MAC地址是否正常。如果发现异常，可以手动绑定正确的ARP条目，比如Windows下用arp -s 1.1.1.1 xx:xx:xx:xx:xx:xx（替换成正确的MAC地址），不过这种方法只对ARP欺骗有效，对付路由劫持没用。
• 部署本地DNS缓存服务器：比如在自己的电脑或路由器上安装Pi-hole这类工具，让本地先处理DNS请求，再转发到公共DNS。这种方式有时候能绕过ISP的透明代理，同时还能顺便屏蔽广告。

备注：内容来源于stack exchange，提问作者Limyx826