Laptop z ikoną kłódki na biurku, symbol bezpieczeństwa internetu
Źródło: Pexels | Autor: Dan Nelson
Rate this post

Nawigacja po artykule:

Na czym polega „podmiana internetu” i dlaczego DNS jest kluczowy

Co to jest DNS w ludzkim języku

DNS (Domain Name System) to system, który tłumaczy czytelne dla człowieka adresy stron, takie jak mojbank.pl, na adresy IP w formie cyfr, np. 192.0.2.10. Bez DNS musiałbyś wpisywać w przeglądarce długie ciągi liczb. Z punktu widzenia bezpieczeństwa oznacza to jedno: jeśli ktoś przejmie kontrolę nad tym tłumaczeniem, może wysłać Cię na zupełnie inną stronę, niż myślisz.

Najprościej wyobrazić sobie DNS jako „książkę telefoniczną internetu”. Nazwa domeny to imię i nazwisko, a adres IP to numer telefonu. Kiedy wpisujesz adres strony, Twój komputer pyta serwer DNS: „jaki numer IP ma ta domena?”. Serwer odpowiada i przeglądarka łączy się z otrzymanym numerem. Jeśli ktoś podmieni „książkę telefoniczną” lub wstawi do niej fałszywy wpis, możesz zadzwonić do oszusta, myśląc, że to Twój bank.

Domyślnie serwery DNS zazwyczaj należą do Twojego dostawcy internetu. Możesz je jednak zmienić na inne, np. Google DNS (8.8.8.8), Cloudflare (1.1.1.1) czy OpenDNS. To ustawienie może znajdować się w kilku miejscach: w routerze, w systemie operacyjnym lub nawet w konkretnym programie. Dlatego tak ważne jest, aby wiedzieć, gdzie szukać ewentualnej podmiany.

Zanim przeglądarka połączy się z konkretną stroną, dzieje się kilka kroków:

  • Krok 1: Wpisujesz adres, np. www.mojbank.pl.
  • Krok 2: Komputer sprawdza w swojej pamięci podręcznej DNS, czy już zna adres IP tej domeny.
  • Krok 3: Jeśli nie zna, wysyła zapytanie do skonfigurowanego serwera DNS.
  • Krok 4: Serwer DNS odpowiada adresem IP, pod który przeglądarka ma się połączyć.
  • Krok 5: Dopiero teraz przeglądarka nawiązuje połączenie z serwerem podanym w odpowiedzi DNS.

Każdy etap tego procesu może zostać wykorzystany przez atakującego. Kluczowe jest jednak miejsce, w którym decyduje się, jaki adres IP odpowiada danej domenie. Tu właśnie pojawia się pojęcie podmiany DNS.

Na czym polega podmiana DNS

Podmiana DNS polega na tym, że ktoś tak manipuluje ustawieniami Twojej sieci lub urządzenia, aby zapytania DNS nie trafiały do zaufanego serwera, tylko do serwera kontrolowanego przez atakującego lub fałszywego pośrednika. Wynik – zamiast prawidłowego adresu IP dostajesz adres należący do przestępcy.

W praktyce wygląda to tak:

  • Krok 1: Atakujący uzyskuje dostęp do Twojego routera, komputera lub innego elementu sieci.
  • Krok 2: Zmienia ustawienia serwerów DNS na własne (np. wskazujące na serwer w obcym kraju lub w innej sieci).
  • Krok 3: Od tego momentu każde wpisanie adresu strony może być „tłumaczone” inaczej niż powinno.
  • Krok 4: Trafiasz na fałszywe strony, które wyglądają prawie identycznie jak oryginalne.

Różnica między zwykłym błędem DNS a celową manipulacją jest prosta. Błąd kończy się zazwyczaj komunikatem typu „nie można znaleźć serwera DNS” lub „strona jest nieosiągalna”. Przy manipulacji strona normalnie się otwiera, ale jest to nie ta strona, którą chciałeś odwiedzić. To sytuacja o wiele groźniejsza, bo nie informuje wprost, że coś jest nie tak.

Klasyczny przykład: wpisujesz adres banku, np. www.mojbank.pl. Przeglądarka otwiera stronę, która:

  • wygląda bardzo podobnie do oryginalnej,
  • ma formularz logowania w tym samym miejscu,
  • czasem nawet ma ikonę kłódki (fałszywy certyfikat lub inna domena z HTTPS),
  • prosi o dane logowania, numer karty, kody SMS.

Ty nie podejrzewasz niczego, bo „przecież strona banku działa”. Tymczasem wszystkie wpisane dane trafiają bezpośrednio do przestępcy, a on w tle loguje się na prawdziwej stronie, dokonuje przelewów lub zmienia limity.

Gdzie może dojść do manipulacji

Podmiana DNS może nastąpić w kilku miejscach. Im lepiej zrozumiesz, gdzie jest najsłabszy punkt, tym łatwiej go zabezpieczysz:

Router domowy lub biurowy

Najczęstszy scenariusz. Router jest centralnym punktem Twojej sieci. Jeśli ktoś dostanie się do jego panelu administracyjnego, może:

  • zmienić adresy serwerów DNS dla całej sieci,
  • włączyć zdalny dostęp do routera,
  • dodać własne reguły przekierowań.

Efekt: każdy komputer, telefon, telewizor czy tablet korzystający z Twojego Wi‑Fi otrzymuje złośliwe serwery DNS i jest narażony na fałszywe strony.

Komputer lub telefon

Drugie popularne miejsce to samo urządzenie. Złośliwe oprogramowanie może zmienić ustawienia sieci tylko na jednym komputerze lub smartfonie. Wtedy:

  • problem pojawia się wyłącznie na tym konkretnym urządzeniu,
  • pozostały sprzęt w sieci działa normalnie,
  • przełączenie się na inne Wi‑Fi nic nie daje, bo złośliwy DNS siedzi w systemie.

Często towarzyszy temu dodatkowa „symptologia”: nachalne reklamy, komunikaty pseudo-antywirusów, przekierowania do fałszywych stron z nagrodami.

Serwery operatora lub publiczne Wi‑Fi

Manipulacja może nastąpić również poza Twoim domem:

  • Serwery DNS operatora – rzadziej atakowane, ale jeśli ktoś przejmie kontrolę nad taką infrastrukturą, zagrożonych jest wielu użytkowników.
  • Publiczne Wi‑Fi – właściciel hotspotu lub osoba podszywająca się pod niego może:
  • kontrolować odpowiedzi DNS,
  • wstrzykiwać złośliwe reklamy lub przekierowania,
  • realizować ataki typu man‑in‑the‑middle (MITM).

W tym kontekście warto znać pojęcia DNS spoofing / DNS poisoning. To techniki polegające na tym, że fałszywe odpowiedzi DNS „zatruwają” pamięć podręczną serwera lub urządzenia. Od tej pory, nawet bez zmiany ustawień, DNS może zwracać błędne adresy.

Co sprawdzić po tej sekcji:

  • Czy rozumiesz, że kłódka HTTPS nie chroni Cię, jeśli wpisujesz dane na fałszywej stronie, do której doprowadził Cię podmieniony DNS?
  • Czy wiesz, że źródłem problemu może być router, komputer, telefon albo publiczne Wi‑Fi, a nie tylko „jakaś strona w internecie”?

Typowe scenariusze ataków z podmianą DNS i fałszywymi stronami

Fałszywa strona banku lub poczty

Najgroźniejszy scenariusz to przejęcie danych do bankowości elektronicznej lub poczty e‑mail. Atakujący wykorzystuje fakt, że większość osób wpisuje adres banku „z głowy” i nie analizuje szczegółów paska adresu.

Objawy mogą być subtelne:

  • lekko zmieniony wygląd strony – inne kolory, inne rozmieszczenie elementów,
  • komunikaty o „konieczności aktualizacji danych”,
  • prośby o nietypowe dane, np. pełny numer karty wraz z kodem CVV w miejscu, gdzie bank zwykle o to nie pyta,
  • błędy językowe, dziwne zwroty, które brzmią jak tłumaczone automatycznie.

Atakujący podszywa się pod znane adresy na kilka sposobów:

  • Podmiana DNS – wpisujesz prawidłowy adres, ale DNS zwraca IP serwera kontrolowanego przez przestępcę.
  • Podobna domena – np. m0jbank.pl zamiast mojbank.pl lub użycie znaków z innych alfabetów, które wyglądają jak łacińskie.
  • Phishing e‑mail / SMS – kliknięcie w link z wiadomości, który prowadzi na fałszywą stronę, przy okazji modyfikując ustawienia DNS (np. przez złośliwe oprogramowanie).

Jeśli po zalogowaniu bank nagle prosi o podanie pełnych danych karty, numeru PESEL, haseł jednorazowych w ilościach, których wcześniej nie wymagał, trzeba się zatrzymać i zadać pytanie: czy na pewno jestem na właściwej stronie?

Zainfekowany router w domu lub biurze

Domowy router to dla przestępcy bardzo atrakcyjny cel. Wystarczy jedno włamanie, aby przejąć ruch wszystkich urządzeń w sieci. Najczęstsze problemy to:

  • domyślne hasło administratora typu admin/admin lub admin/1234,
  • stare, dziurawe oprogramowanie (firmware),
  • włączony zdalny dostęp do panelu z internetu,
  • otwarte porty, których nikt nie kontroluje.

Atakujący, który wejdzie do panelu routera, może:

  • zmienić adresy serwerów DNS na własne,
  • dodać przekierowania dla wybranych domen (np. popularnych banków),
  • ustawić własną stronę startową przy próbie wejścia na dowolną stronę.

Objawy zainfekowanego routera:

  • dziwne reklamy na wszystkich urządzeniach, nawet tych z adblockiem,
  • przekierowania na strony z konkursami, „nagrodami” czy pseudo-ankietami,
  • identyczne problemy na telefonie, komputerze, telewizorze i tablecie podłączonych do tego samego Wi‑Fi.

Niebezpieczne sieci publiczne Wi‑Fi

Publiczne Wi‑Fi to wygoda, ale i idealne środowisko dla ataków typu man‑in‑the‑middle. Atakujący może:

  • postawić własny hotspot o nazwie podobnej do hotelowej lub kawiarnianej, np. „Hotel_Gosc”, „Free_Airport_WiFi”,
  • skonfigurować własne serwery DNS, które będą obsługiwać wszystkich podłączonych,
  • wstrzykiwać do stron dodatkowe skrypty, reklamy czy przekierowania.

Przykładowy scenariusz:

  • łączysz się z niezabezpieczonym „Free_WiFi”,
  • próbujesz wejść na stronę banku,
  • hotspot przechwytuje zapytanie DNS i odpowiada adresem własnego serwera,
  • widzisz fałszywą stronę logowania z adresem łudząco podobnym do prawdziwego.

Nawet jeśli używasz HTTPS, atakujący może spróbować podstawiać własne certyfikaty. Przeglądarka powinna wtedy pokazać ostrzeżenie – ignorowanie takich komunikatów jest poważnym błędem.

Złośliwe oprogramowanie na komputerze lub telefonie

Malware potrafi działać bardzo sprytnie. Zamiast „robić bałagan”, po cichu modyfikuje ustawienia DNS w systemie, wpisując adresy serwerów przestępcy. Czasem ingeruje również w plik hosts, aby przekierowywać wybrane domeny.

Typowe objawy:

  • nadmiarowe reklamy, których wcześniej nie było,
  • przekierowania z normalnych stron na dziwne serwisy z grami, konkursami, pseudo-antywirusami,
  • komunikaty w stylu „Twój komputer jest zainfekowany, kliknij, aby zeskanować”, które prowadzą do płatnych lub fałszywych programów,
  • problem występuje tylko na jednym urządzeniu, a inne w tej samej sieci działają normalnie.

Złośliwe oprogramowanie może też ingerować w ustawienia przeglądarki, dodając rozszerzenia lub zmieniając stronę startową. W połączeniu z podmienionym DNS tworzy to bardzo skuteczny mechanizm wyłudzania danych.

Co sprawdzić po tej sekcji:

  • Czy potrafisz wskazać przynajmniej dwa miejsca, gdzie ktoś mógł zmienić Twoje DNS bez Twojej wiedzy (np. router i komputer)?
  • Czy rozpoznajesz objawy zainfekowanego routera: te same przekierowania na wielu urządzeniach w domu?
Kursor myszy na tekście o bezpieczeństwie cyfrowym na ekranie
Źródło: Pexels | Autor: Pixabay

Jak rozpoznać, że coś jest nie tak – pierwsze objawy

Oznaki widoczne w przeglądarce

Pasek adresu i ikona kłódki to Twoi pierwsi sprzymierzeńcy. Nie wystarczy, że „strona się ładuje” – liczą się szczegóły:

1. Kłódka HTTPS

  • Brak kłódki przy serwisie, który zawsze działał po HTTPS (np. bank, poczta) – sygnał ostrzegawczy.
  • Przekreślona kłódka lub czerwony komunikat – połączenie jest niebezpieczne, certyfikat nieprawidłowy lub ktoś go podmienił.
  • Komunikaty typu „To połączenie nie jest prywatne” – nie klikaj „Kontynuuj mimo to” tylko dlatego, że „tak zawsze robiłeś”.

2. Adres strony

3. Nazwa domeny i drobne „literówki”

Podmieniony DNS często prowadzi na domeny, które na pierwszy rzut oka wyglądają poprawnie. Trzeba patrzeć szczegółowo:

  • adres ma dodatkowe słowa, np. mojbank‑bezpieczenstwo.pl zamiast mojbank.pl,
  • pojawiają się cyfry zamiast liter: rn zamiast m, 0 zamiast o,
  • domena jest w obcym kraju, np. kończy się na .ru, .cn, a bank ma oficjalnie tylko .pl.

Warto wykonać prosty test: przepisać adres ręcznie z umowy z bankiem lub z oficjalnych materiałów, zamiast klikać w zakładki czy wyniki wyszukiwania. Jeśli po ręcznym wpisaniu adresu lądujesz na innej stronie niż zwykle – zapala się lampka ostrzegawcza.

4. Nietypowe komunikaty i wygląd strony

Fałszywe strony są często tworzone „po taniości”. W praktyce oznacza to:

  • brak pełnej polskiej wersji językowej – część elementów jest po angielsku,
  • brak niektórych funkcji znanych z prawdziwej strony (np. brak podstrony z historią transakcji),
  • dziwne wyskakujące okna, np. z prośbą o instalację „dodatkowego zabezpieczenia” lub wtyczki.

Jeśli znana strona nagle wygląda jak z innej epoki, jest brzydko „poskładana” albo ładuje się z wyraźnym opóźnieniem i przeskakiwaniem elementów – lepiej wylogować się (o ile to możliwe), zamknąć przeglądarkę i dalej już nic nie klikać.

Co sprawdzić:

  • Czy adres banku/poczty wpisujesz ręcznie, czy tylko klikasz w zakładki i linki?
  • Czy potrafisz zauważyć różnicę między prawidłową domeną a tą z drobną „literówką”?

5. Dziwne przekierowania i wyskakujące okna

DNS‑y pod kontrolą atakującego lub malware na komputerze często objawiają się nadmierną liczbą przekierowań. Typowy scenariusz:

  • wchodzisz na znany portal informacyjny,
  • zamiast artykułu widzisz ekran z gratulacjami „wygrałeś telefon”,
  • po zamknięciu i próbie ponownego wejścia historia się powtarza – na różnych stronach.

Jeśli takie zachowanie powtarza się na kilku znanych, zaufanych stronach, to sygnał, że coś steruje ruchem HTTP/HTTPS po Twojej stronie. Single „wyskakujące okienko” raz na rok to jedno, ale codzienne „wysypy” reklam i pseudo‑ankiet na poważnych serwisach zwykle oznaczają problem lokalny.

Co sprawdzić:

  • Czy te same przekierowania pojawiają się na różnych stronach i w różnych przeglądarkach?
  • Czy problem występuje na jednym urządzeniu, czy na wszystkich w domu?

Objawy widoczne w całej sieci domowej

Jeżeli źródłem problemu jest router albo operator, pierwsze sygnały widać równocześnie na wielu urządzeniach. Przyglądaj się takim sytuacjom:

  • te same dziwne reklamy widoczne na telefonie, komputerze i telewizorze,
  • identyczne przekierowania na „konkursy” po wejściu na znane portale,
  • strony banków wczytują się bardzo wolno lub w ogóle nie chcą się załadować.

Dobry szybki test to użycie telefonu w dwóch trybach:

  1. połączony z domowym Wi‑Fi,
  2. połączony wyłącznie przez transmisję danych komórkowych (Wi‑Fi wyłączone).

Jeśli problem znika po przełączeniu na LTE/5G, bardzo prawdopodobne, że coś jest nie tak z domowym routerem lub DNS‑ami operatora domowego internetu.

Co sprawdzić:

  • Czy te same objawy widać na wielu urządzeniach w sieci?
  • Czy po przełączeniu telefonu z Wi‑Fi na transmisję komórkową problem znika?

Sygnalizowanie problemów przez system operacyjny

Czasami system sam podpowiada, że coś jest nie w porządku z połączeniem. Możesz zauważyć:

  • komunikaty typu „Brak odpowiedzi DNS” lub „Nie można znaleźć serwera DNS”,
  • naprzemienne działanie i niedziałanie stron – raz się ładują, raz wyskakuje błąd DNS_PROBE_FINISHED_NXDOMAIN czy podobny,
  • ostrzeżenia o problemach z certyfikatem nawet na bardzo znanych stronach (Google, banki, duże portale).

Jednorazowy błąd DNS nie oznacza katastrofy. Jeśli jednak takie komunikaty pojawiają się regularnie, warto przejść do diagnostyki – zacząć od sprawdzenia, jakich serwerów DNS używa komputer i router.

Co sprawdzić:

  • Czy błędy DNS pojawiają się tylko na pojedynczej stronie, czy w wielu serwisach?
  • Czy ostrzeżenia o certyfikatach widzisz na znanych, globalnych stronach (to szczególnie podejrzane)?

Krok po kroku: sprawdzenie DNS na komputerze (Windows, macOS, Linux)

Ogólna zasada: najpierw ustal, czy problem jest lokalny, czy sieciowy

Zanim zaczniesz grzebać w ustawieniach systemu, wykonaj prosty podział:

  1. Sprawdź inne urządzenie – jeśli problem z podejrzanymi stronami występuje tylko na jednym komputerze, w pierwszej kolejności podejrzane jest to urządzenie.
  2. Sprawdź inne łącze – użyj telefonu jako hotspotu (udostępnianie internetu) i podłącz do niego komputer. Jeśli po zmianie sieci wszystko wraca do normy, winny może być router lub operator.

Dopiero po takim szybkim teście przechodź do ustawień DNS na konkretnym systemie.

Co sprawdzić:

  • Czy umiesz uruchomić w telefonie hotspot i podłączyć do niego komputer?
  • Czy potrafisz porównać zachowanie stron na Wi‑Fi i na internecie z telefonu?

Sprawdzenie DNS w Windows (GUI – metoda „dla oka”)

Krok po kroku na przykładzie Windows 10/11. W starszych wersjach nazwy będą bardzo podobne.

Krok 1: Otwórz właściwości połączenia sieciowego

  • Kliknij prawym przyciskiem myszy ikonę sieci w prawym dolnym rogu (przy zegarku).
  • Wybierz Otwórz Ustawienia sieci i Internetu (lub podobną opcję).
  • Przejdź do sekcji Zmiana ustawień karty sieciowej / Centrum sieci i udostępniania → Zmień ustawienia karty sieciowej.
  • Znajdź aktywne połączenie: Wi‑Fi lub Ethernet – jego status powinien być „Połączono”.

Krok 2: Wejdź w właściwości protokołu IPv4

  • Kliknij prawym przyciskiem aktywne połączenie i wybierz Właściwości.
  • Na liście składników znajdź Protokół internetowy w wersji 4 (TCP/IPv4).
  • Zaznacz go i kliknij Właściwości.

Krok 3: Sprawdź, jakie serwery DNS są ustawione

  • Jeśli zaznaczone jest Uzyskaj adres serwera DNS automatycznie – komputer bierze DNS z routera lub z sieci operatora.
  • Jeśli zaznaczone jest Użyj następujących adresów serwerów DNS i widzisz tam dziwne numery (np. 123.45.67.89, których nie kojarzysz) – ktoś mógł to ustawić ręcznie lub malware mogło to zmienić.

Popularne, bezpieczne DNS‑y publiczne to np.:

  • Cloudflare: 1.1.1.1 i 1.0.0.1,
  • Google: 8.8.8.8 i 8.8.4.4.

Adresy odbiegające od tego schematu nie muszą być złe (operatorzy mają swoje DNS‑y), ale jeśli widzisz tam coś w stylu 185.XXX.XXX.XXX i nie korzystasz z żadnego niestandardowego rozwiązania, warto to zweryfikować u dostawcy internetu.

Typowy błąd: automatyczne przestawienie wszystkiego na „DNS Google”, bo „wszyscy tak robią”. Najpierw zanotuj istniejące adresy, żeby w razie czego móc do nich wrócić.

Co sprawdzić:

  • Czy masz zaznaczone „Uzyskaj adres serwera DNS automatycznie”, czy ręczne DNS‑y?
  • Czy potrafisz spisać obecne adresy DNS przed wprowadzeniem zmian?

Sprawdzenie DNS w Windows (w wierszu polecenia)

Druga metoda pozwala szybko zobaczyć, z jakich DNS‑ów korzysta system i jak tłumaczy konkretne domeny.

Krok 1: Otwórz wiersz polecenia

  • Naciśnij Win + R, wpisz cmd i zatwierdź.

Krok 2: Sprawdź konfigurację sieci

Wpisz polecenie:

ipconfig /all

Na liście adapterów sieciowych znajdź ten, który jest aktywny (ma przypisany adres IPv4, np. 192.168.0.10). W jego sekcji znajdź linijkę Serwery DNS.

Jeśli widzisz tam kilka adresów:

  • pierwszy to zwykle główny DNS (często adres routera, np. 192.168.0.1),
  • kolejne to serwery operatora lub ręcznie wpisane DNS‑y.

Krok 3: Sprawdź, na jaki adres IP wskazuje Twoja domena

Użyj narzędzia nslookup:

nslookup mojbank.pl

Wynik pokaże:

  • który serwer DNS odpowiedział (linia Server),
  • jaki adres IP zwrócił dla danej domeny.

Jeżeli masz podejrzenia, porównaj wynik z innym źródłem – np. z telefonu podłączonego do mobilnej sieci, używając też nslookup (na Androidzie przez aplikację typu „DNS lookup”) albo przez zewnętrzną usługę sprawdzania DNS. Rozbieżne adresy IP dla znanego banku to poważny znak ostrzegawczy.

Co sprawdzić:

  • Czy serwer, z którego dostajesz odpowiedź (Server:), to Twój router lub znany DNS, czy jakaś obca nazwa/adres?
  • Czy ten sam adres IP dla domeny banku widzisz również na innym urządzeniu lub w innej sieci?

Sprawdzenie DNS w macOS (preferencje systemowe)

Krok 1: Wejdź w ustawienia sieci

  • Kliknij ikonę jabłka w lewym górnym rogu i wybierz Ustawienia systemowe lub Preferencje systemowe (zależnie od wersji).
  • Przejdź do sekcji Sieć.
  • Po lewej stronie wybierz aktywne połączenie: Wi‑Fi albo Ethernet.

Krok 2: Sprawdź serwery DNS

  • Kliknij przycisk Zaawansowane… (lub Więcej…), a następnie zakładkę DNS.
  • Na liście zobaczysz serwery DNS, których używa Mac.

Jeśli lista jest pusta, Mac pobiera DNS z routera lub z sieci operatora. Jeżeli widzisz tam konkretne adresy IP, a nie pamiętasz, żebyś je wpisywał, zrób zrzut ekranu lub spisz je, a następnie zweryfikuj, czy pochodzą od Twojego dostawcy.

Typowy błąd: usunięcie wszystkich DNS‑ów „żeby było czysto”, bez zapisania ich wcześniej. Gdy coś przestanie działać, nie będziesz miał do czego wrócić.

Co sprawdzić:

  • Czy lista DNS‑ów w zakładce DNS zgadza się z tym, co deklaruje Twój operator (np. w panelu klienta)?
  • Czy nie ma tam obcych adresów IP, o których nic nie wiesz?

Sprawdzenie DNS w macOS (Terminal i narzędzia linii poleceń)

Krok 1: Otwórz Terminal

  • Wejdź w Aplikacje → Narzędzia → Terminal albo wyszukaj „Terminal” przez Spotlight (Cmd + Spacja).

Krok 2: Sprawdź, jakich DNS‑ów używa system

Wpisz:

Krok 2: Sprawdź, jakich DNS‑ów używa system (Terminal)

Najpierw ustal aktualną konfigurację dla działającego interfejsu (Wi‑Fi lub Ethernet).

Dla Wi‑Fi użyj polecenia:

scutil --dns | grep -A2 "DNS configuration (for scoped queries)"

Albo prościej, dla konkretnego interfejsu:

networksetup -getdnsservers Wi-Fi

Jeśli zobaczysz komunikat There aren’t any DNS Servers set on Wi-Fi, oznacza to, że DNS przychodzą automatycznie z routera/ DHCP. W innym wypadku pojawi się lista adresów IP – to ręcznie ustawione DNS‑y dla tego interfejsu.

Dla połączenia przewodowego (zwykle Ethernet):

networksetup -getdnsservers Ethernet

Krok 3: Porównaj odpowiedzi DNS dla podejrzanych stron

Do testów użyj dig lub nslookup. Wbudowane narzędzia wystarczą.

Przykład z użyciem dig dla banku:

dig mojbank.pl

Interesuje Cię sekcja ANSWER SECTION, gdzie widać adres IP. Następnie zrób to samo, ale wskaż inny serwer DNS, np. Cloudflare:

dig mojbank.pl @1.1.1.1

Jeżeli odpowiedzi znacząco się różnią (inne adresy IP, inny kraj/region po sprawdzeniu w serwisie typu whois / IP lookup), jest powód do niepokoju, szczególnie jeśli różnice widzisz tylko w swojej sieci domowej.

Co sprawdzić:

  • Czy networksetup -getdnsservers nie zwraca niespodziewanych adresów IP?
  • Czy wyniki dig domena i dig domena @1.1.1.1 są zbliżone (te same lub bardzo podobne adresy IP)?

Sprawdzenie DNS w Linux (podstawowe narzędzia)

Krok 1: Ustal, skąd system bierze DNS

Na nowszych dystrybucjach (z systemd) często używany jest systemd-resolved. Zajrzyj do statusu resolvera:

systemd-resolve --status

Albo na niektórych systemach:

resolvectl status

Wynik pokaże per‑interfejs (np. wlp3s0 dla Wi‑Fi, enp3s0 dla Ethernetu) jakie DNS‑y są używane.

Na starszych systemach lub bez systemd najczęściej nadal kluczowy jest plik:

cat /etc/resolv.conf

Szukaj linii w formacie:

nameserver 192.168.0.1
nameserver 8.8.8.8

Jeśli widzisz tam dziwne IP, których nie spodziewasz się w swojej sieci, nie zmieniaj ich jeszcze – najpierw zrób kopię:

sudo cp /etc/resolv.conf /etc/resolv.conf.backup

Krok 2: Sprawdź aktywny interfejs i jego konfigurację

Krótki podgląd da ip lub nmcli (NetworkManager):

ip addr

Z listy interfejsów znajdź ten, który ma adres IP z Twojej sieci (np. 192.168.0.x).

Jeśli używasz NetworkManagera, sprawdź DNS per‑połączenie:

nmcli device show wlp3s0 | grep DNS

Albo ogólnie:

nmcli device show | grep -i dns

Krok 3: Test odpowiedzi DNS (dig / nslookup)

Linux daje wygodne narzędzia do porównywania odpowiedzi różnych serwerów.

Podstawowy test:

dig mojbank.pl

Dla porównania z innym DNS:

dig mojbank.pl @1.1.1.1
dig mojbank.pl @8.8.8.8

Podobnie jak w macOS – porównaj ANSWER SECTION. Jeżeli tylko „Twój” DNS (ten z sieci domowej) zwraca inny adres IP niż DNS publiczne, traktuj to jako czerwone światło.

Możesz też szybko sprawdzić, z którego DNS faktycznie korzysta dig po wywołaniu bez parametru @ – w nagłówku odpowiedzi pojawi się linia SERVER: ….

Co sprawdzić:

  • Czy /etc/resolv.conf (lub systemd-resolve --status) nie zawiera nieznanych DNS‑ów?
  • Czy adres IP zwracany przez dig domena zgadza się z tym z publicznych serwerów DNS?

Jak sprawdzić, czy problem nie siedzi w routerze (podmiana DNS na poziomie sieci)

Krok 1: Zaloguj się do panelu routera

Najpierw musisz wejść do panelu administracyjnego urządzenia sieciowego.

  • W przeglądarce wpisz typowy adres routera: 192.168.0.1, 192.168.1.1 lub ten, który widzisz w systemie jako „brama domyślna” (Default Gateway w ipconfig / ip route).
  • Wprowadź login i hasło administratora.

Uwaga: jeśli logujesz się admin/admin albo hasłem z naklejki i nigdy go nie zmieniałeś, router jest łatwym celem. Atakujący może zalogować się z zewnątrz (jeśli panel jest wystawiony), a także z Twojej sieci lokalnej.

Krok 2: Znajdź ustawienia serwerów DNS w routerze

W zależności od producenta sekcja z DNS‑ami może nazywać się różnie:

  • Internet, WAN, Połączenie z internetem,
  • LAN / DHCP Server (tam, gdzie router przydziela adresy IP urządzeniom).

Sprawdź dwa miejsca:

  1. DNS dla połączenia WAN – to DNS‑y, z których sam router korzysta, kontaktując się z siecią operatora.
  2. DNS serwowane klientom (urządzeniom w domu) – zwykle w sekcji DHCP.

Jeśli w którejś z tych sekcji widzisz ręcznie wpisane adresy DNS, których nie rozpoznajesz, zrób zdjęcie ekranu, zapisz te dane i porównaj z informacjami od operatora lub dokumentacją sprzętu.

Krok 3: Porównaj z danymi od dostawcy internetu

Większość operatorów podaje „zalecane serwery DNS” w umowie, na stronie pomocy lub w panelu klienta. Sprawdź, czy to, co jest w routerze, pokrywa się z tymi danymi.

Jeśli widzisz tam np. adresy w egzotycznych sieciach (po sprawdzeniu przez serwis typu „IP lookup” – inny kontynent, inne AS niż Twój operator), a sam nic nie przestawiałeś, zakładaj scenariusz kompromitacji urządzenia.

Krok 4: Sprawdź, czy router nie przekierowuje ruchu DNS „po cichu”

Nawet jeśli w konfiguracji DNS wygląda normalnie, złośliwy firmware lub zainfekowany router może przekierowywać ruch z portu 53 (DNS) na inne serwery. Szybki test z poziomu komputera:

  1. Na komputerze ustaw ręcznie DNS Cloudflare (1.1.1.1 i 1.0.0.1) w ustawieniach sieciowych.
  2. Zrestartuj połączenie sieciowe.
  3. Uruchom nslookup lub dig:
    nslookup mojbank.pl
  4. Sprawdź w wyniku, jaki serwer DNS odpowiedział. Jeśli zamiast 1.1.1.1 widzisz adres routera lub inny serwer, router może przechwytywać zapytania DNS.

Co sprawdzić:

  • Czy w panelu routera nie ma wpisanych DNS‑ów, których nie rozpoznajesz i których nie ma w dokumentacji operatora?
  • Czy po ustawieniu na komputerze DNS‑ów typu 1.1.1.1 nslookup/dig pokazuje, że odpowiedź faktycznie pochodzi z tego serwera?

Szybkie testy DNS z telefonu (Android / iOS)

Krok 1: Porównanie Wi‑Fi i sieci komórkowej

Telefon daje prosty sposób, żeby odróżnić problem z domową siecią od problemu globalnego.

  1. Połącz się z domowym Wi‑Fi, otwórz stronę banku / panelu operatora.
  2. Odłącz Wi‑Fi (włącz tylko transmisję danych komórkowych) i załaduj tę samą stronę.

Jeśli ostrzeżenia o certyfikacie lub dziwne zachowanie występują tylko na Wi‑Fi, a z sieci komórkowej jest OK, szukaj przyczyny w routerze lub DNS‑ach od operatora stacjonarnego.

Krok 2: Ustawienie własnego DNS w telefonie

Android (prywatny DNS / DNS‑over‑TLS)
  • Wejdź w Ustawienia → Sieć i internet (lub podobna sekcja).
  • Znajdź opcję Prywatny DNS.
  • Wybierz Nazwa hosta dostawcy prywatnego DNS.
  • Wpisz np. 1dot1dot1dot1.cloudflare-dns.com (Cloudflare) lub dns.google.

Po zapisaniu wszystkie zapytania DNS z telefonu pójdą przez szyfrowany kanał do konkretnego dostawcy. Jeśli po tej zmianie problemy znikną, problem leży po stronie Twojej sieci lokalnej lub jej DNS‑ów.

iOS (DNS przez profil / aplikację VPN/DNS)

Apple nie ma tak prostej opcji „prywatny DNS” jak Android, ale da się osiągnąć podobny efekt:

  • Skorzystaj z aplikacji typu „DNS changer” lub „bezpieczny DNS” z App Store, która tworzy profil/VPN do zaufanego DNS (Cloudflare, Quad9, itp.).
  • Po zainstalowaniu profilu sprawdź, czy problemy znikają.

Co sprawdzić:

  • Czy problem z podejrzanymi stronami występuje zarówno na Wi‑Fi, jak i na LTE/5G?
  • Czy po ustawieniu prywatnego DNS w telefonie (Cloudflare/Google) komunikaty o certyfikatach i dziwne przekierowania ustępują?

Ręczna weryfikacja IP strony: kiedy IP nie zgadza się z „resztą świata”

Krok 1: Sprawdź IP domeny w swojej sieci

Na komputerze w podejrzanej sieci wykonaj:

nslookup mojbank.pl
nslookup logowanie.mojbank.pl

Zapisz adresy IP, które widzisz przy Address:.

Krok 2: Sprawdź IP tej samej domeny „z zewnątrz”

Masz kilka opcji:

  • użyj telefonu w sieci komórkowej z aplikacją typu „DNS lookup” lub Termuxem,
  • skorzystaj z serwisów online „DNS checker” / „DNS propagation”,
  • zaloguj się na zdalny serwer (VPS, serwer firmowy) i wykonaj dig / nslookup stamtąd.

Porównaj IP z obu źródeł. Różnice mogą wynikać z geolokalizacji (CDN). Niepokojące są:

  • kompletnie inna pula adresowa (np. Twój wynik wskazuje niewielkiego hostingodawcę w egzotycznym kraju, a globalny wynik – duże centrum danych w Europie),
  • brak spójności w obrębie Twojej sieci (inne urządzenia, inne IP dla tej samej domeny).

Krok 3: Podejrzyj certyfikat HTTPS

Nawet jeśli DNS jest podmieniony, przeglądarka powinna ostrzegać przed fałszywym certyfikatem.

  1. Wejdź na stronę banku przez HTTPS, np. https://mojbank.pl.
  2. Kliknij kłódkę w pasku adresu i wybierz Certyfikat / Informacje o certyfikacie.
  3. Sprawdź, na kogo wystawiono certyfikat (pole Issued to, Subject) i kto go wystawił (CA, np. DigiCert, Let’s Encrypt).

Jeśli nazwa w certyfikacie nie pokrywa się dokładnie z domeną, a widzisz jakieś ostrzeżenia typu „Połączenie nie jest prywatne”, nie akceptuj wyjątku. Taki scenariusz bardzo często to próba ataku man‑in‑the‑middle albo zwykła podmiana strony.

Co sprawdzić:

  • Czy adresy IP z Twojej sieci i z zewnętrznych źródeł są spójne dla krytycznych stron (bank, poczta, serwisy rządowe)?
  • Czy certyfikat HTTPS dokładnie pasuje do domeny i jest wystawiony przez znaną CA, bez ostrzeżeń przeglądarki?

Najczęstsze błędy podczas „naprawiania” DNS i jak ich uniknąć

Błąd 1: Kasowanie wszystkiego i wpisywanie losowych DNS‑ów

Pod wpływem paniki wiele osób:

Najczęściej zadawane pytania (FAQ)

Jak sprawdzić, czy ktoś podmienił mi DNS w domu?

Krok 1: Zaloguj się do panelu routera (najczęściej wpisując w przeglądarce 192.168.0.1 lub 192.168.1.1, a login/hasło znajdziesz na naklejce urządzenia). Poszukaj zakładki „Internet”, „WAN” albo „DNS”. Sprawdź, czy serwery DNS są ustawione na „automatyczne od dostawcy” lub znane, zaufane adresy (np. 8.8.8.8, 1.1.1.1). Jeśli widzisz dziwne adresy z obcych krajów lub losowe IP – może to być sygnał problemu.

Krok 2: Na komputerze lub telefonie sprawdź lokalne ustawienia sieci. Jeśli router ma DNS „auto”, a w systemie ręcznie wpisane inne serwery, coś jest nie tak. Na Windows użyj „ipconfig /all”, na macOS i Linux sprawdź ustawienia sieci w panelu systemowym.

Co sprawdzić: czy adresy DNS w routerze i w systemie są spójne, czy nie ma ręcznie wpisanych, „egzotycznych” IP oraz czy panel routera nie ma domyślnego hasła typu admin/admin.

Jak rozpoznać, że jestem na fałszywej stronie banku mimo kłódki HTTPS?

Krok 1: Spójrz na pełny adres w pasku – literówka, dodatkowe słowo (np. „-secure”, „-login”) lub dziwne końcówki domen (.site, .top) to czerwone flagi. Kłódka oznacza jedynie szyfrowane połączenie, nie gwarantuje, że to prawdziwy bank.

Krok 2: Oceń zachowanie strony. Pytania o pełny numer karty z CVV przy zwykłym logowaniu, żądanie wielu kodów SMS naraz lub nietypowe „ankiety bezpieczeństwa” są bardzo podejrzane. Zwróć też uwagę na błędy językowe i „sztywne” tłumaczenia.

Co sprawdzić: czy zawsze wpisujesz adres ręcznie lub korzystasz z własnych zakładek, czy logujesz się tylko przez oficjalną aplikację banku i czy nie ignorujesz drobnych różnic w wyglądzie strony.

Czy kłódka HTTPS chroni mnie przed podmianą DNS?

Nie. Kłódka pokazuje tylko, że połączenie z daną stroną jest szyfrowane i certyfikat jest ważny. Jeśli DNS skieruje Cię na inną domenę z poprawnym certyfikatem (np. mojbank-secure.com), przeglądarka nadal pokaże kłódkę, mimo że to fałszywa strona.

Ochrona przed podmianą DNS opiera się głównie na: poprawnej konfiguracji routera, aktualnym systemie, ostrożności wobec publicznych Wi‑Fi i dokładnym sprawdzaniu adresu strony w pasku przeglądarki, a nie samej ikonie kłódki.

Co sprawdzić: czy faktyczny adres domeny (część bez „www” i bez ścieżki /login) jest dokładnie taki jak znany, oficjalny adres banku lub usługi.

Jakie są typowe objawy, że mój router lub komputer został zainfekowany i podmienia DNS?

Najczęstsze sygnały ostrzegawcze to: nagłe przekierowania na dziwne strony, wyskakujące okna z „wygraną”, komunikaty pseudo-antywirusów, zmiana strony startowej w przeglądarce bez Twojej zgody oraz fałszywe loginy do banku lub poczty mimo poprawnie wpisanego adresu.

Prosty test: krok 1 – spróbuj wejść na stronę banku z innego urządzenia w tej samej sieci (np. z telefonu po Wi‑Fi). Krok 2 – na tym samym telefonie przełącz się na internet mobilny i spróbuj jeszcze raz. Jeśli na Wi‑Fi trafiasz na „dziwną” wersję strony, a na LTE wszystko wygląda normalnie, problem prawdopodobnie leży w routerze.

Co sprawdzić: czy na wszystkich urządzeniach w sieci pojawiają się te same podejrzane objawy, czy problem znika po przełączeniu na inną sieć (hotspot z telefonu, LTE).

Jak zabezpieczyć router przed podmianą DNS krok po kroku?

Krok 1: Zmień domyślne hasło do panelu routera na długie, unikalne (minimum 12 znaków, litery, cyfry, znaki specjalne). Krok 2: Wyłącz zdalny dostęp do panelu z internetu (opcje typu „Remote Management”, „Remote Administration”). Krok 3: Zaktualizuj firmware routera do najnowszej wersji od producenta.

Krok 4: Ustaw DNS na: „automatyczny od dostawcy” lub ręcznie wpisz zaufane serwery (np. 1.1.1.1 i 8.8.8.8). Zapisz ustawienia, uruchom ponownie router. Po tej zmianie na urządzeniach w sieci odśwież dzierżawę adresu (wyłączenie i włączenie Wi‑Fi zwykle wystarcza).

Co sprawdzić: czy nikt poza Tobą nie zna hasła do routera, czy DNS nie zmienia się sam po kilku dniach oraz czy w logach routera (jeśli są) nie ma nietypowych logowań z zewnętrznych adresów.

Czy korzystanie z publicznego Wi‑Fi zwiększa ryzyko podmiany DNS i fałszywych stron?

Tak. Właściciel hotspotu (lub ktoś, kto się pod niego podszywa) może kontrolować odpowiedzi DNS i ruch w sieci. To daje możliwość wstrzykiwania reklam, przekierowań, a nawet ataków typu man‑in‑the‑middle, gdzie użytkownik widzi „prawie normalny” internet, ale wrażliwe strony są podmienione.

Bezpieczniejszy schemat to: krok 1 – na publicznym Wi‑Fi unikaj logowania do banku i paneli administracyjnych (poczta, serwisy firmowe). Krok 2 – jeśli musisz, korzystaj z własnego VPN lub internetu mobilnego. Krok 3 – zawsze upewnij się, że łączysz się z właściwą siecią (unikaj otwartych sieci typu „Free_WiFi”, „Airport_Free”, jeśli nie masz pewności, kto je wystawił).

Co sprawdzić: czy krytyczne logowania wykonujesz wyłącznie z zaufanych sieci (dom, biuro), a w miejscach publicznych korzystasz z VPN lub danych komórkowych do bankowości i ważnych serwisów.

Czy zmiana DNS na Google/Cloudflare chroni mnie całkowicie przed fałszywymi stronami?

Ustawienie zaufanych DNS (Google 8.8.8.8, Cloudflare 1.1.1.1, OpenDNS) bardzo utrudnia atakującemu podmianę odpowiedzi na poziomie operatora czy routera, ale nie rozwiązuje wszystkiego. Nadal możesz wejść na fałszywą stronę z linka w mailu, SMS‑ie czy komunikatorze, bo to nie DNS zostaje podmieniony, tylko adres w linku.

Dodatkowo, jeśli złośliwe oprogramowanie zmieni DNS bezpośrednio w Twoim systemie (na komputerze/telefonie), samo ustawienie „dobrego DNS” na routerze nie wystarczy – trzeba też oczyścić infekcję i skontrolować ustawienia sieci na urządzeniu.

Co sprawdzić: czy zmieniłeś DNS zarówno na routerze, jak i na kluczowych urządzeniach, oraz czy mimo to zachowujesz ostrożność przy klikaniu w linki z maili i SMS‑ów.

Co warto zapamiętać

  • DNS działa jak „książka telefoniczna internetu”: jeśli ktoś przejmie kontrolę nad tym tłumaczeniem nazw domen na adresy IP, może kierować Cię na zupełnie inne, fałszywe strony – także takie, które łudząco przypominają panel logowania banku.
  • Podmiana DNS to celowa manipulacja ustawieniami w sieci (router, komputer, telefon lub hotspot), która sprawia, że zapytania DNS trafiają na serwer kontrolowany przez atakującego, a nie na zaufany serwer Twojego operatora czy Google/Cloudflare.
  • Najbardziej narażony jest router: po włamaniu napastnik zmienia serwery DNS „dla wszystkich”, więc każdy sprzęt w domu lub biurze – od laptopa po telewizor – zaczyna korzystać z fałszywego tłumaczenia adresów.
  • Na pojedynczym komputerze lub telefonie zmiana DNS bywa efektem złośliwego oprogramowania; typowe objawy to przekierowania na dziwne strony, wysyp reklam, komunikaty pseudo‑antywirusów, podczas gdy inne urządzenia w tej samej sieci działają normalnie.
  • Publiczne Wi‑Fi i źle zabezpieczone serwery operatora mogą być wykorzystane do ataków typu DNS spoofing/poisoning oraz man‑in‑the‑middle: fałszywe odpowiedzi „zatruwają” pamięć podręczną i od tej chwili nawet poprawne zapytania DNS zwracają błędne adresy.
  • Ikona kłódki i HTTPS nie gwarantują bezpieczeństwa, jeśli trafiłeś na stronę przez podmieniony DNS – możesz widzieć szyfrowane połączenie z fałszywą domeną i mimo to oddać przestępcy loginy, hasła czy dane karty.

Zobacz także:

Poprzedni artykułPorządek w szafce pod zlewem: co trzymać, a co wyrzucić od razu
Danuta Kowalski
Danuta Kowalski
Danuta Kowalski tworzy praktyczne poradniki „co zrobić, gdy…” związane z domem i codzienną organizacją. Jej doświadczenie to lata pracy z rutynami: planowaniem sprzątania, przechowywaniem, drobnymi naprawami i usprawnieniami, które oszczędzają czas. Każdą metodę opisuje tak, by była możliwa do wykonania bez specjalistycznego sprzętu, a przy tym bezpieczna dla powierzchni i domowników. Weryfikuje porady w praktyce, dopisuje warianty dla różnych warunków i jasno wskazuje, kiedy lepiej skorzystać z pomocy fachowca.