148 评论

扫盲 DNS 原理,兼谈“域名劫持”和“域名欺骗/域名污染”

  前天下午(1月21日),咱们天朝发生了全国性的互联网故障,导致大量国内网站无法访问。这次故障说白了就是一次全国性大范围的域名污染。所以俺借此机会,给大伙儿扫盲一下 DNS 的常识。既然是扫盲 DNS,也顺带说说“域名劫持”和“域名污染”这两个很容易混淆的概念。提醒一下:这两者的其中之一是 GFW 的大杀器,爱翻墙的同学有必要了解。

★DNS 是啥?


  DNS 是洋文“Domain Name System”的缩写,直译过来就是“域名系统”。

★DNS 有啥用?


  咱们每天打交道的这个互联网,其底层的基石是“IP”。IP 是“Internet Protocol”的缩写,中文就“互联网协议”(光看名字就知道这玩意儿很重要)。咱们日常用的那些互联网软件(浏览器、聊天工具、下载工具、等等)在工作时,必须依靠【IP地址】才能进行网络数据传输。
  “IP地址”是设计给软件用滴——虽然软件很容易处理,但对于人类而言,却很难记忆。于是,后来又发明了 DNS。有了 DNS,人类就不需要记住长长的一串 IP地址,而只需记住“域名”(域名通常更短,也更具有可读性)。
  比如你上网的时候,只需在地址栏输入网站的“域名”,而不用输入网站的“IP地址”。然后电脑系统会利用 DNS 来把“域名”翻译成“IP地址”。这个翻译的过程术语叫“域名解析/DNS解析”。

★域名的结构是咋样滴?


  域名是按照“树形结构”组织的。不懂得啥是“树形结构”的同学,可以对照一下电脑硬盘上的目录结构。域名的结构和目录结构很类似,目录结构是用“斜杠”作分隔符,而域名是用小数点作分隔符。两者的主要区别在于:目录结构名称的形式是从左到右(上级在左,下级在右),而域名是从右到左(上级在右,下级在左)。
  以俺博客的域名为例:
program-think.blogspot.com 的上级域名是 .blogspot.com
.blogspot.com 的上级域名是 .com
这里的 .com 就被称为顶级域名(Top-Level Domain,简称 TLD),跟 .com 类似的那些 .net .org .gov 也是顶级域名。还有那些以国家/地区的代码命名的(比如 .cn .tw .hk .jp 等等)也是顶级域名。

★“域名解析”是咋实现滴?


  如果你曾经配置过电脑的网卡,应该记得上面除了有IP地址、掩码等设置,还有一项设置是“DNS服务器/域名服务器”。这项设置就是用来帮助你的电脑进行域名解析的。你可以把这个“DNS服务器”想象成114查号台。每当电脑需要翻译某个域名,就找这个域名服务器查询,然后域名服务器会告诉你的电脑,要查询的域名对应的IP地址是啥。

  下面简单说一下,你的电脑进行域名解析的过程。
  为了叙述方便,以俺博客为例。当你在浏览器的地址栏中输入 http://program-think.blogspot.com/,然后敲回车,这时候电脑软件会进行如下一系列事情。
1. 首先根据输入的网址,提取出域名(在本例中,也就是 program-think.blogspot.com
2. 如果你在系统中配置了 Hosts 文件,那么电脑会先查询 Hosts 文件,看这个 program-think.blogspot.com 否已经在 Hosts 里面有了对应的记录。如果有,直接就可以拿到该记录中的 IP地址,过程就结束了。
3. 如果 Hosts 里面没有这个别名,那么电脑会看你有没有设置域名服务器(DNS 服务器)。如果你的系统没有设置域名服务器,那电脑就没辙了,浏览器直接会报错,说网站的域名无法解析。过程就结束了。
4. 如果你设置过“域名服务器”,那么电脑会向这个域名服务器发送一个域名查询(DNS query)的请求,然后等候域名服务器的回应。
5. 如果域名服务器始终没有回应(比如域名服务器挂了,或域名服务器的IP填错了,或请求被 GFW 拦截了),那么电脑还是没辙(浏览器会报错)。
6. 如果域名服务器回应了,那么你的电脑就可以根据域名服务器的应答信息,得到该域名的 IP地址。之后浏览器就会向这个 IP地址 对应的 Web 端口发送 HTTP 请求。

  通常情况下,电脑拿到的(DNS服务器)应答信息是正确的——也就是说,应答中的 IP地址 确实对应那个域名——这种情况下,你的网络软件就可以正常工作了。
  但是在天朝这个奇葩的国家,电脑拿到的 DNS 应答有可能是【错的】。为啥会这样捏,本文的后半部,俺会介绍一下“域名劫持”和“域名污染”。

★域名服务器如何知道这些信息?


  (本小节的内容偏技术化,技术菜鸟请仔细理解)
  刚才介绍了“客户端域名解析”的过程。接下来说说域名服务器是如何得到这些信息的。

◇域名的缓存


  大伙儿平时使用的域名服务器,技术术语叫“递归域名服务器”。“递归服务器”是面向普通网友的。刚才介绍“域名解析”的时候提到的服务器就是“递归服务器”。
  “递归服务器”的内部通常会有一个 DNS记录 的缓存——这个缓存是为了提高查询效率的。当某台电脑向递归服务器发起域名查询时,递归服务器首先看自己的缓存中有没有该域名的记录,如果有,直接就回复该记录给查询的电脑。
  万一对方想要查询的域名没找到,咋办捏?这时候就要进行缓存的同步。

◇缓存的同步


  下面就拿俺博客的域名为例,说说这种情况的处理流程。
1. 对方查询 program-think.blogspot.com 这个域名,“递归服务器”发现自己的缓存中没有
2. “递归服务器”会先去找“根域名服务器”帮忙,“根服务器”会告诉“递归服务器”说:这个域名属于 com 这个分支之下,你去找 com 这个域名的“权威服务器”,这个权威服务器的 IP地址 是 xxx。
3. 然后“递归服务器”根据拿到的这个 xxx地址,又去找“com 域名的权威服务器”。“com 域名的权威服务器”告诉它:你应该去找“blogspot.com 域名的权威服务器”,这个权威服务器的 IP地址 是 yyy
4. 然后“递归服务器”又屁颠屁颠地去找“blogspot.com 域名的权威服务器”。这时候“blogspot.com 域名的权威服务器”才会告诉它,program-think.blogspot.com 这个域名的 IP地址 到底是多少。
  大伙儿看到没有?整个过程如同“踢皮球”,效率是很低的。所以俺前面提到,“递归域名服务器”必须得有一个缓存,以此来优化效率(不用每次查询都来一次“踢皮球”)。

◇同步的周期


  说完了“域名的同步”,顺便提一下“同步的周期”。
  因为互联网上的域名信息是有可能发生变化的。比如增加了某个新域名,注销了某个旧域名,或者某个域名对应的 IP地址 变了。所以,“递归服务器”上保留的缓存中,每一条域名记录都有一个生命周期(可能是几分钟,也可能是几小时)。如果某条记录的生命周期过了,就会被删除,然后重新同步。

★啥是“域名劫持”?


  刚才说了,域名服务器上都会保存一大堆的域名记录(每条记录包含“域名”和“IP地址”)。当收到域名查询的时候,域名服务器会从这堆记录中找到对方想要的,然后回应给对方。
  如果域名服务器上的某条记录被【人为修改】了(改成错的),那么一旦要查询这条记录,得到的就是错误的结果。这种情况称之为“域名劫持”。

★谁有“域名劫持”的企图?


  “域名劫持”通常是电信运营商(ISP)干的好事儿。很多宽带用户用的域名服务器就是 ISP 提供给你的。而天朝的 ISP 也是很奇葩的——经常耍流氓。
  举例:
  前几年曾经出现过:某个 ISP 跟百度勾结,把谷歌的流量重定向到百度。具体搞法是:该 ISP 篡改自己的域名服务器的记录,把里面跟 google.com 相关的域名记录的 IP地址 修改为百度服务器的 IP地址。如此一来,假设你用的是这个 ISP 的域名服务器,当你在浏览器输入 www.gooogle.com 的时候,你的电脑查询到的 IP地址 其实是百度的 IP地址,所以浏览器打开的是“百度”的主页。

★如何对付“域名劫持”?


  刚才说了,“域名劫持”的根源在于:域名服务器上的记录被人给改了。要对付这种耍流氓,最直接的办法就是不要使用这种流氓 ISP 提供的域名服务器,改用国外那些比较靠谱的。目前口碑最好的,大概是 Google 提供的两个域名服务器,IP地址 分别是 8.8.8.8 和 8.8.4.4 ——这俩不光是地址好记,更重要的是,不会耍流氓。

★啥是“域名污染”?


  先提醒一下:“域名污染”这个词还有其它几个别名,分别是“域名欺骗”、“域名缓存投毒”(洋文叫:DNS cache poisoning)。今后看到这几个别名,要晓得是同一个意思。
  “域名污染”的原理,简单说来是这样滴:当你的电脑向域名服务器发送了“域名查询”的请求,然后域名服务器把回应发送给你的电脑,这之间是有一个时间差的。如果某个攻击者能够在域名服务器的“DNS应答”还没有到达你的电脑之前,先伪造一个错误的“DNS应答”发给你电脑。那么你的电脑收到的就是错误的信息,并得到一个错误的 IP地址。

★谁有“域名污染”的企图?


  从技术上讲,只要攻击者能够位于“你”和“域名服务器”的传输线路中间,那么攻击者就有机会搞“域名污染”。能够做到这点的,可能是一个黑客/骇客,也可能是 ISP。不过这些都不是本节聊的重点。本节的重点是 GFW——它是最有资源搞域名污染的,同时也最有意愿搞域名污染的。在《如何翻墙?》这篇全面扫盲教程中,俺提到 GFW 最有名的三板斧,其中一板斧就是“域名污染”。
  举例:
  比如某个国外网站,长年累月地抹黑咱们伟大光荣正确的党国,搞得咱们的“伟光正”很没面子,很不爽。那么朝廷的“真理部”就会给 GFW 下达封杀令——要求 GFW 全面封锁某某网站。对于 GFW 而言,要全面封掉某个网站,最简单的一个办法就是直接污染该网站的域名。用了这招之后,那些不懂翻墙的网友只要是通过【域名的方式】访问该网站,他们的电脑进行 DNS查询 之后,多半会得到错误的结果(也就是说,查到的 IP地址 是假的);既然拿到假的 IP地址,当然就无法打开这个网站的页面啦。

★GFW 的两种“域名污染”


  刚才俺解释了“域名污染”的原理,那种形式不妨称为“直接污染”。由于 GFW 的特殊性,它不但可以做到“直接污染”,还可以做到“间接污染”。而普通的骇客顶多只能做到“直接污染”,难以做到“大范围的间接污染”。
  那么这两种污染有啥区别捏?且听俺细细道来。

◇GFW 部署在哪?


  首先有必要先扫盲一下“GFW的部署位置”。咱们天朝的互联网只有少数几个国际出口(名气较大的是:北京出口、上海出口、广州出口)。如果你要访问天朝之外的网站,你的网络数据流就必定会经过其中的某个“国际出口”。而天朝的【每一个】国际出口都部署了 GFW 的设备。
  说到 GFW 的设备,顺便插一句:
  GFW 是洋文“Great FireWall”的缩写。很多同学(包括很多懂技术的同学)都望文生义,想当然地以为 GFW 就是某种“防火墙”设备。其实不然。GFW 是基于 IDS(IDS是“入侵监测系统”的缩写)打造的。有空的话,俺再来聊聊 GFW 本身的技术细节。

◇GFW 的直接污染


  因为 GFW 部署在天朝的国际出口。如果你用的是【国外的】域名服务器,你的“DNS请求”必定会经过国际出口;同样,域名服务器的“DNS应答”必定也会经过国际出口才能到你的电脑。这一来一回就给 GFW 提供了耍流氓的机会。
  这种污染就是俺所说的“直接污染”。

◇GFW 的间接污染


  刚才介绍了“使用国外域名服务器会被直接污染”。那如果你用的是【国内的】域名服务器捏?就会被“间接污染”。过程如下:
1. 比方说你用的是电信的 DNS服务器,然后你想要访问某个(被封杀的)反共网站。
2. 对于被封杀的网站,其网站服务器必定在国外,而且网站的域名肯定也不会使用 CN 之下的域名。所以,被封锁的网站,其上级域名的“权威域名服务器”肯定也是在国外。
3. 当你向“电信的DNS服务器”查询反共网站的域名,这台“电信的DNS服务器”就会去找这个反共网站的上一级域名对应的“权威域名服务器”去进行“域名查询”。
4. 因为是从国外进行域名查询,相关的数据流必定要经过国际出口。一旦经过国际出口,就会被 GFW 污染。
5. 如此一来,“电信的域名服务器”拿到的是已经被污染的域名记录(里面的IP是错的)。而且“电信的域名服务器”会把这条错误的记录保存在自己的域名缓存中。
6. 下次如果有另一个网友也找这台“电信的域名服务”查询这个反共网站,也会查到错误的结果。

   上述过程不断重复,最终会导致:全国所有的域名服务器,它们的缓存中只要是包含了那个反共网站的记录,记录中的 IP地址 必定是错的(这个错误的 IP地址 也就是 GFW 伪造的那个)。所以说“间接污染”是很牛逼的,可以把错误的域名记录扩散到全国。
  刚才俺说了,“域名污染”也叫“域名缓存投毒”。“投毒”一词真的非常形象——就好象在某条河流的源头下毒,从而把整条河流的水都污染。在互联网时代搞“域名污染”是非常卑鄙下流的。因为 DNS 是互联网的基础设施,而“域名污染”直接破坏了互联网的基础设施。所以说,天朝是一个非常奇葩的国度;咱们面对的是一个做事情毫无底线的政府。

★咋对付“域名污染/域名欺骗”?


  这个话题有点大。因为有很多种招数可以对付“域名污染”。统统都写在这里,篇幅太长了。
  所以俺决定:抽空另写一篇教程,专门谈这个问题。敬请关注。

俺博客上,和本文相关的帖子(需翻墙)
如何翻墙(传说中的翻墙入门教程,不定期更新)
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2014/01/dns.html

148 条评论

  1. 支持楼主发文!期待毛太祖、周画皮系列开播!还有2013社会群体事件合集……

    回复删除
    回复
    1. TO 沙发
      多谢捧场 :)
      关于“伟光正”的历史,俺肯定会继续揭露。
      目前俺要先把手头的两个系列(六四系列 和 大饥荒系列)先写完。然后俺会考虑多聊聊毛太祖,希望能帮助某些毛粉看清此人。

      至于周丞相,其迷惑性就更大了,连很多对中共不满的人,都被周恩来迷惑了。
      对周感兴趣的网友,可以看看俺[url=https://code.google.com/p/program-think/wiki/Books]俺的网盘[/url]上分享的《晚年周恩来》一书。此书的作者高文谦长年在中共中央文献研究室工作,并担任周恩来生平研究小组组长。
      此书揭露了周的某些阴暗面,可信度较高。

      至于“2013社会群体事件合集”
      近期花了很多时间回复读者留言和读者来信,忙得都没时间整理这个了。
      看看春节假期是否能抽出时间来。

      删除
    2. 编程兄的两个系列的好久都没有更新,要不集中精力先写完一个吧,建议先写完六四系列。很期待能拜读编程兄的大作,以客观的视角还原事实的真相

      删除
    3. 上一篇博文《如何保护隐私[6]:“浏览器指纹”的防范》的1楼5单元网友已经补充分享《论民主》和《民主及其批判》两本民主著作电子书了,请博主注意查看

      删除
    4. TO 2单元的网友
      多谢提建议 :)
      《回顾六四系列》肯定会写很长,俺只能时不时发一两篇。很难一口气写完。
      《大饥荒系列》篇幅不会太长,再写个3-4篇估计差不多了。

      删除
    5. TO 3单元的网友
      多谢提醒 :)
      晚上俺争取把前面那几篇新增的留言也回复一下。
      到时候把这两本电子书处理一下。

      删除
  2. 一看就是紧急赶出来的,这也算是热点文

    回复删除
    回复
    1. TO 守夜人
      其实 DNS 方面的知识,很早以前就有读者来询问。俺也早就想单独写一篇扫盲。
      可惜俺有点懒,一直没动手写 :(
      这次正好赶上全国性的 DNS 污染,俺就借机把这篇扫盲给写了。

      删除
  3. 博主换一下博客主题吧?有些太简陋了,换个简洁、清爽、大方的主题(不用频繁换只要固定一个就够了)看着会令人感到很舒爽的,用户体验啊!

    回复删除
    回复
    1. TO 4楼的网友
      多谢提建议 :)

      先声明:俺作为一个理工科出身的 IT 宅男,艺术方面的审美是比较缺乏滴。
      所以当年开博客的时候,也没这么花力气去调整博客界面的配色和各种美化。

      如今这个界面已经用了很久了。
      考虑到读者已经很多,如果要调整界面的主题,俺需要征求一下大伙儿的反馈意见。

      另外,你提到主题要“简洁、清爽、大方”
      俺觉得目前的界面已经比较“简洁”。
      至于“清爽、大方”,能否说具体点?

      删除
    2. 我对界面要求不高,就是希望加载速度能更快些。

      删除
    3. 最近得了迫害妄想症, 我觉得楼上也属于妄图转移注意力浪费楼主宝贵时间的类型....

      主题当然越简陋越好, 翻墙带宽, 往往掉到 十几KB/s....

      删除
    4. TO Hugo Chan 和 3单元
      多谢反馈 :)
      俺会比较注意博客页面的载入速度。
      因为俺自己也是通过多重代理上来的,如果载入速度太慢,俺自己都受不了

      删除
  4. 谢谢楼主科普,新年快乐!

    回复删除
    回复
    1. TO 5楼的网友
      多谢捧场 :)
      同祝新年快乐!

      删除
    2. 我也提前给博主和各位网友拜个年吧,希望大家在新的一年里身体健康,呼吸到更多自由的空气。

      删除
    3. TO 大隐于市
      多谢捧场 :)
      同祝新年快乐!

      删除
  5. 要是配个原理讲解图那就更直观、容易理解多了

    回复删除
    回复
    1. 另外把互联网协议基础概念(也就是那些什么物理层、应用层、传输层、数据链路层...的工作模式)也一并扫盲吧?

      删除
    2. TO 6楼的网友
      昨天写得仓促,都没空加入相关的原理图。
      俺有空的话,补充几张 DNS 的原理图,以方便技术菜鸟的理解。

      删除
    3. TO 1单元的网友
      关于其它网络协议的基本概念,(即使在墙内)应该也可以找到不少资料。
      俺目前优先扫盲那些跟“翻墙”和“信息安全”有关的知识。
      因为这俩类知识对当今的天朝比较重要,而且这两方面正好是俺比较擅长的。

      删除
    4. 完全没有必要吧? 不符合此处主题。 博主哪来那么多闲工夫把你们都培养成网络工程师?

      删除
  6. 前排观看,关于gfw fqrouter作者写的非常详细了。里面包括gfw阻挠的原理以及未来的趋势
    dns污染 关键字屏蔽 封ip 等等https://docs.google.com/document/d/1mmMiMYbviMxJ-DhTyIGdK7OOg581LSD1CZV4XY1OMG8/mobilebasic#h.502vx5npzxl6

    回复删除
    回复
    1. TO 7楼的网友
      多谢分享翻墙的相关链接 :)

      删除
    2. 博主我认为网络知识你如果在那里看到现成的直接给连接就好了,没必要花时间写,建议多写写热点。

      删除
    3. TO 2单元的网友
      多谢提建议 :)
      因为网络知识,墙内也容易找到,所以俺就没有专门普及这方面的知识。
      俺重点普及哪些墙内不易找到的,比如:翻墙,反洗脑,政治扫盲,政治热点,之类的。

      删除
  7. 最近热点颇多,随想节日也难以清闲啊。
    这里又有2个热点,
    一是离岸中心的权贵财产。资料来源可能是中共内讧所致。
    http://chinadigitaltimes.net/chinese/2014/01/%e5%9b%bd%e9%99%85%e8%ae%b0%e8%80%85%e8%b0%83%e6%9f%a5%e5%90%8c%e7%9b%9f-%e4%b8%ad%e5%9b%bd%e7%a7%98%e5%af%86%e7%a6%bb%e5%b2%b8%e9%81%bf%e7%a8%8e%e6%b8%af%e8%a7%a3%e5%af%86/
    苹果日报的跟进报道。http://chinadigitaltimes.net/chinese/2014/01/%e8%8b%b9%e6%9e%9c%e6%97%a5%e6%8a%a5%ef%bd%9c%e6%b2%88%e6%b8%9d%ef%bc%9a%e9%97%9c%e6%96%bcicij%e7%9a%84%e5%a0%b1%e9%81%93/
    二是对许志永的审判。个人还是比较敬佩这仁兄的,天朝说的人很多,做的人很少,谁知道他不会做中国的曼德拉么?
    许志永的发言
    http://chinadigitaltimes.net/chinese/2014/01/%e6%b3%95%e5%b9%bf-%e8%ae%b8%e5%bf%97%e6%b0%b8%e6%b3%95%e5%ba%ad%e9%99%88%e8%af%8d%ef%bc%9a%e6%9c%80%e5%90%8e%e4%b8%ba%e4%ba%86%e8%87%aa%e7%94%b1%c2%b7%e5%85%ac%e4%b9%89%c2%b7%e7%88%b1/

    回复删除
    回复
    1. 说的没错,只要是敢真正地和这个邪恶党对抗的,都值得敬重

      删除
    2. TO Ho Steven
      关于【离岸金融数据曝光的权贵海外资产】
      这批数据是几个月前就被爆料的。据说有200GB的数据,包括几大离岸金融中心的详细客户资料。
      由于数据太多,“国际调查记者同盟”经过几个月的分析整理,如今开始看出眉目了。
      从这些海量数据可以看出天朝的权贵集团把非常非常多的资产转移到海外。这些权贵人士中,也包括天朝当今掌门人习近平的近亲。
      从十八大到现在,俺多次提到了:习近平就是权贵集团的代言人。别看他整天忽悠反腐败,其实他自己就很腐败。
      他既不会搞真正的政治体制改革,也不会倒退到毛时代。因为这俩条路都不符合权贵集团的利益。
      权贵集团最希望的就是继续维持现状,以便他们继续搜刮

      删除
    3. TO Ho Steven
      关于【许志永】
      俺也支持许志永及其新公民运动。不过他的立场依然是“改良”而不是“革命”。
      而俺则越来越觉得,“改良”是走不通的(如今的改良就如同清末的改良,是一条死胡同)。
      俺依然寄希望于【非暴力革命】

      另外,俺觉得“许志永不可能成为天朝的曼德拉”,甚至说,天朝就压根儿没有“产生曼德拉的土壤”。
      因为天朝的政府做事情是没有底线的(俺在本文中也提及这点)。
      而曼德拉面对的南非白人政府,做事情是有底线的。

      删除
    4. 改良和非暴力革命的界限的确不易分清。从许志永的发言来看,倒不像寄希望于中共自己改良的无知者,更倾向于救助弱势群体,传播公民意识的非暴力革命。当然我对新公民运动所知不多,判断未必准确。

      曼德拉这事的确不靠谱,不过刘晓波等人没被直接处死,没被肉身消灭,也算留了个台阶。我个人判断,异见人士之所以没被处死,与中共高层的内讧一样,并非有人真心支持民主,只是党内对未来走向有所异议,有人认为极权体制不可持续,想给未来留条退路而已。中共从上到下都是裸官,从习帝等诸常委到村干部莫不准备了后路,一旦革命汹涌,就拍拍屁股走人。而且耐人寻味的是,子女都送去哈佛等名校学政治,是打算真有民主体制也可以继续执政么(韩国的朴槿惠-朴正熙之女)。

      删除
    5. 我觉得不是,处死的话,就和毛时代没有任何区别了

      极权政权的统治力是越来越虚弱,这是历史规律

      随意杀人就跟老毛时代没区别

      现在信息这么发达,这种事情传出去岂不是更没脸?

      删除
    6. ”离岸“事件,无疑是颗重磅炸弹!炸毁了对习还抱有的那点幻想。从体制内瓦解中共,也不失为一个办法,不知那些被习搞掉的贪官们,看了后作何感想?感谢楼主分享!

      删除
    7. TO Ho Steven
      俺觉得:朴正熙之女朴槿惠能继续活跃于政治舞台,有一个前提是:韩国的军人政府在民主运动的压力下,主动推进民主化(有点类似于台湾的蒋经国)。
      而天朝目前的搞法,中共是不会主动搞多党制的。所以一旦发生政治变革,中共会被彻底铲除(东欧和苏联有很多这样的先例)。

      删除
    8. TO Ho Steven
      关于刘晓波
      你提到“刘晓波等人没被直接处死”
      主要是朝廷也有顾及,因为刘晓波的国际知名度很高。
      但如果是一个普通的人,没有知名度的人,估计就被整死了。

      删除
  8. Gr:
    这次事件除了失误是否也有可能是试验GFW的攻击能力,把全国的流量转到一个IP地址,实行DDoS攻击?

    回复删除
    回复
    1. TO 10楼的网友
      此次的 DNS 事故,纯粹就是 GFW 内部人员的误操作。
      即使要试验 DDOS 攻击,也不会这么干。
      这么干(对朝廷而言)影响太恶劣了——等于是在变相普及国内网民,让更多人知道 GFW 的存在。

      删除
    2. Gr:
      确实,影响很大。
      不过这之前根本没想到gfw还有攻击能力。

      删除
  9. Gr:
    我记得DNSSEC技术似乎可以防止DNS污染,而且google DNS 似乎已经全面支持了,那我们是否可以利用?
    http://googleonlinesecurity.blogspot.hk/2013/03/google-public-dns-now-supports-dnssec.html

    回复删除
    回复
    1. TO 11楼的网友
      多谢分享 :)
      同意你说的,DNSSEC 是对付 DNS 污染的方法之一。
      俺在后续博文会普及。

      删除
    2. Gr:
      感谢,之前试着自己配过BIND,但不知如何使用DNSSEC

      删除
  10. 封网的缘由
    爆五巨頭海外藏富 北京忙封網
    要聞組/綜合22日電
    January 23, 2014 06:05 AM | 25297 次 | 42 | 26 | |
    總部設在華府的「國際調查記者聯盟」(ICIJ)21日發表調查報告,披露包括現任中共總書記習近平以及已故中共領導人鄧小平、前國家主席胡錦濤、前總理李鵬和溫家寶等十多位中共領導人的家人或親屬,在避稅天堂英屬維京群島開設離岸公司隱藏巨額財富後,報導這一消息的英國「衛報」、德國「南德日報」及ICIJ網站立刻遭中國封鎖。

    英國「衛報」說,在北京的外籍人士22日上午就完全無法進入「衛報」(The Guardian)網站,中國大陸民眾也無法登錄「南德日報」(Seuddeutsche Zeitung)網站。而從兩年前就開始蒐集相關秘密資訊的調查平台「國際調查記者聯盟」的網站也已被封鎖。

    香港「東方日報」引述消息說,中國國家互聯網信息辦公室(下稱國信辦)22日發出緊急通知,要求各地即時查刪相關報導。緊急通知指ICIJ報告是境外媒體的炒作,要求各地緊急進行查刪,稱「互動環節要嚴密把關,相關圖片和對領導人和體制的攻擊性評論一律刪除,影響惡劣者立即封號並配合有關部門落地追查」。

    據報導,ICIJ蒐集的資料中包含逾2萬1000名中國大陸和香港的投資者在境外金融中心註冊公司,用這些空殼公司開設銀行帳戶避稅或轉移資金情況。估計在過去13年從中國大陸流出的資金在1兆至4兆美元之間。包括德意志銀行(Deutsche Bank)在內的多家歐洲銀行在幫助處理資產轉移方面扮演重要角色。

    該組織揭露的秘密檔案資料顯示,多位現任與卸任中國共產黨中央政治局常委的家屬在英屬維京群島和庫克群島註冊公司。榜上有名的包括中國國家主席習近平的姊夫鄧家貴和剛卸任國務院總理的溫家寶的兒子溫雲松和女婿劉春航,以及前總理李鵬的女兒李小琳、前國家主席胡錦濤的堂侄胡翼時和鄧小平的女婿吳建常等人。

    在披露的離岸公司機密檔案中,出現習近平姊姊齊橋橋(原名習橋橋)丈夫鄧家貴的名字。鄧家貴為Excellence Effort Property Developement Limited公司的總經理及持股人,該公司於2008年3月在英屬處女島註冊成立。鄧擁有五成股權,另五成股權則由另兩位藉房地產暴富的股東持有─兩位房地產大亨去年6月曾在深圳獲得政府對兩塊土地高達20億美元的補貼,當時輿論譁然。而外國傳媒和香港傳媒早前也曾披露,鄧氏夫婦在港坐擁億元豪宅。

    調查還發現,在這些離岸資產持有者中,包括騰訊集團創始人馬化騰和張志東、女首富楊惠妍、SOHO集團執行長張欣、國美集團創始人黃光裕與妻子杜鵑等至少15人是中國的頂級富豪、國企高管。中國三大石油國企中石油、中石化與中海油與機密檔案中的數十家英屬維京群島離岸公司都有關連。

    據參與調查的「南德意志報」報導,自2000年以來,約有4兆美元的資產從中國匯出,去向不明。文件資料顯示,協助中共太子黨轉移資產到離岸金融中心的銀行和會計公司,包括普華永道(資誠聯合)會計師事務所、瑞士信貸及瑞士銀行。


    Read more: 世界新聞網-北美華文新聞、華商資訊

    回复删除
    回复
    1. TO 12楼的网友
      关于【离岸金融数据曝光的权贵海外资产】
      多谢分享文章 :)

      这批数据的曝光,彻底揭露了朝廷权贵集团的嘴脸。
      从这批数据可以看出,习近平家族在海外的资产也不少,显然他也是权贵集团的一员。
      俺会抽空单独聊聊此事,让大伙儿看看“以习近平为首的权贵集团”是怎样蛀空咱们这个国家。

      删除
  11. 据说是为了离岸的事情,而且又准备出台某小组:知情人士:我国将成立中央网络安全信息化领导小组知情人士透露,国家信息安全战略文件已起草完成,将于中央网络安全信息化领导小组建制后公布。文件中会提出建立信息安全网络架构,信息领域核心技术产品的国产化,应用软件、操作系统国产化,可信云计算等多方面内容。

    回复删除
    回复
    1. 尽快建立国家局域网

      删除
    2. TO 13楼的网友
      习近平上台后,就多次强调要严控互联网舆论。显然他早就意识到互联网对党国的威胁。
      “中央网络安全信息化领导小组”就是严控互联网舆论的动作之一。
      早在2009年,俺就发过一篇博文《[url=http://program-think.blogspot.com/2009/07/party-pk-internet.html]党和互联网的较量[/url]》。
      党越是严控互联网,反而说明了互联网对于政治变革的重要性。
      在如今这个信息化时代,要推动天朝的政治变革,一定要好好利用互联网这个利器

      删除
  12. 及时雨,正想请教编兄这方面问题,平铺直叙非本事,化繁为简乃真功夫,编兄,你完全可以去科普了。
    一直对GFW是如何屏蔽互联网的,很感兴趣,可以的话能否请编兄,详细论述一下其具体过程?,谢谢!

    回复删除
    回复
    1. TO Fankang Chen
      多谢捧场 :)
      这几年确实写了不少技术方面的扫盲教程,顺便也就锻炼了写扫盲教程的写作能力。
      关于 GFW 如何封锁互联网,俺在《http://program-think.blogspot.com/2009/05/how-to-break-through-gfw.html》一文有大致的扫盲介绍。
      之前也有读者想了解 GFW 更深入的技术细节。俺会考虑,有空的话写几篇博文深入介绍一下

      删除
  13. 像你这种长期抹黑党国的人,为什呢国家没有查到你。我有一个很荒唐的猜想:你是不是也参与了GFW的建设,你是体制内的技术骨干,就像黑客帝国里的先知一样,建立一个虚拟的锡安,维护系统的稳定!是不是又阴谋了!

    回复删除
    回复
    1. 楼主是一编程人员,所以对计算机领域也是很了解啦。党国抓不到他是因为他懂得保护自己。

      删除
    2. 15楼的人你是来秀智商的吗?

      博主都特么号召茉莉花了

      你还说他维稳?!!!

      照你话说,谷歌也是维护系统稳定的?因为博主在谷歌博客上写文章

      这话明显带有斯德哥尔摩综合症,对读者则有诉诸恐惧的效果

      如果没有受到过真正的朝廷威胁,估计胆小到极致的人才会这么想

      删除
    3. 哈哈,天朝的系统可没那么高级。
      编程君用了很多匿名的手段(见他之前的文章),才没有被跨省的,不然。。。
      就像比特币的发明者中本聪一样,全世界还不是找不到他。

      另外,我这两天就在想,编程君估计又该写篇文章讨论这次的dns污染问题了,果然,3天就搞出来啦,哈哈。

      删除
    4. 回复二单元:我有一次跟一个做信安的同学说使用虚拟机就不会被跟踪,他告诉我,黑客能从虚拟机逃逸是最基本的,他们上课都讲过的。反正安照他的意思,你只要在国内上网,国家通过网络找到你,只是代价问题,不是能不能的问题。像编程随想影响力都这么大了,党国应该拼尽全力挖出他才对呀!

      删除
    5. 你那同学的回答怎么有点牛头不对马嘴啊,黑客可以用虚拟机攻击,普通网民也就可以用虚拟机保护自己啊,作用都是一样的。后面那句话我就更不懂了,黑客的水平如何跟天朝政府(请不要乱用国家这个词,这帮混蛋不能代表国家)是否要监视你有啥关系?你是怎么得出这个结论的?“党国应该拼尽全力挖出他才对呀!”——对啊,党国一直找不到编程君,所以他现在才能继续抹黑党国啊。其实编程君早就说过,以他常年抹黑党国的“罪行”,早就够把牢底坐穿了,你以为他是怎么活到现在的?

      删除
    6. TO 黑客帝国
      你的想法很奇特 :) 俺头一次听到有读者如此评价俺本人。

      俺没有被跨省,主要有如下原因:
      1、作为一个在安全圈混了十多年的人,俺的安全意识比较强(以至于同事都觉得俺在这方面有点偏执)
      2、俺对朝廷的内部系统比较了解,尤其是跟信息安全方面相关的系统。所谓知己知彼,百战不殆(对这方面有兴趣的,可以看看《[url=http://program-think.blogspot.com/2013/02/chinese-intelligence-agencies.html]八卦一下天朝党政军的情报机构[/url]》)
      3、朝廷的六扇门,并没有大伙儿想象的那么牛——关于这点,俺有发言权 :)
      4、最后一点,运气也很重要(俺当然晓得:绝对的安全是不存在的)

      删除
    7. 4单元说话阴阳怪气儿

      有啥确凿的证据没啊?

      几句话就能成为依据?

      删除
    8. 看看在TC被抓被跨省的,基本没听过是使用代理的。唯一一个是通过“技术”抓到的就是那个被yahoo出卖的。虽然不知道那班搞技术的是水平低,还是还有点良知,都说明了懂一点网上隐匿性是很有用的

      删除
    9. LS的不好意思,我只是猜想一下,毕竟我经常来这里,心想如果这里也是被设计好的,那我不是还在墙内吗?昨天我想了想,觉得这里的可信度还是很高的,在这里总是能激发我的思考。不好意思,抱歉呀!

      删除
    10. TO 12345
      被雅虎出卖的师涛应该不是唯一的技术案例。
      可能还有其它的一些案例是网警利用技术手段定位,然后跨省。
      只是被害人名气不够大,所以没有被知晓。

      在防范跨省方面,既不可掉以轻心,也不必神话六扇门的能力。

      删除
    11. TO 黑客帝国
      没关系,俺欢迎各种不同观点。

      删除
  14. 感谢随想的科普,很有收获,谢谢!

    回复删除
  15. 那么,如果博主的IP没被封的话,我就可以改HOST上博主的博克了,对吧?能问下这个博克的IP吗?

    回复删除
    回复
    1. 你用 ping 命令测试一下博客的域名,就可以看到 IP地址了。
      修改 Hosts 文件来翻墙有几个缺点:
      1、如果 GFW 把网站 IP地址 也列入 黑名单,那么 改Hosts 就无效了。
      2、传输过程是没加密的,如果访问的页面中包含敏感词,还是会被阻断。
      3、可能会引发一些奇怪的问题。

      删除
  16. 谢谢博主的文章。我的dns在设置为google的之后,Eset的防火墙就经常提示遭遇DNS投毒。看了你的文章后明白投毒怎么一回事了,那能够简单的介绍杀毒软件是怎么知道被投毒了呢?

    回复删除
    回复
    1. TO 18楼的网友
      对于 DNS污染,因为攻击者需要伪造一个虚假的 DNS应答 的数据包。并且要确保虚假的应答比真实的应答先到你的电脑。
      也就是说,你的电脑会收到两个 DNS应答(通常操作系统会忽略后面那个)
      但是某些安全工具可以根据这个特点(一个DNS请求却收到两个应答),判断出遭遇 DNS欺骗

      删除
    2. TO 编程随想
      家里的路由器上面的域名封锁是什么原理呀?难道是将DNS结果污染成0.0.0.0 ?

      删除
  17. 这篇文章有谈到一些硬件上的监控方式,比如机房设置监控/镜像服务器,然后用关键词来搜索
    网警如何监控公民隐私-
    http://chinadigitaltimes.net/chinese/2013/12/%E7%BF%BB%E5%A2%99-%E7%BD%91%E8%AD%A6%E5%A6%82%E4%BD%95%E9%9D%9E%E6%B3%95%E7%9B%91%E6%8E%A7%E5%85%AC%E6%B0%91%E9%9A%90%E7%A7%81/

    回复删除
    回复
    1. 这篇文很多人已经说过有水分了

      删除
  18. 每当编程刺痛党国,五毛就出现了。

    回复删除
    回复
    1. 它們只是狗,只有性和食物那點可悲的慾望,所以那些違背道德的事它們幹得出來。

      删除
    2. TO 20楼和1单元的网友
      五毛也分两种:职业五毛 和 自干五。
      职业五毛 其实挺可怜的——为了生计,不得不干这种下三烂的事情。

      删除
    3. To 编程兄
      俺觉得“职业五毛”一点也不可怜。这年头,顺便干点什么都饿不死,如今人工费上涨很厉害。为了“五毛”就言不由衷,更何况他们的主子早已离岸了!

      删除
    4. TO 逆水行舟
      俺觉得“职业五毛”可怜,是因为他们中的很多人除了干这个,就不懂得干别的。
      职业五毛的工作,其实挺枯燥的。如果有其它谋生手段,又何必干这个?
      如此缺乏谋生技能,岂不是很可怜?

      删除
  19. 现在云平台很多,能不能写一个利用GAE以外的平台翻墙的教程,如:php, paas,网上有一个APJP的,[url]http://code.google.com/p/apjp/[/url] .但不更新了.可用goagent作例子来讲.goagent也可用于php,paas的.

    回复删除
    回复
    1. TO 21楼的网友
      多谢提建议 :)

      理论上是可以用 GAE 以外的平台来搭建翻墙代理。
      但是不同的云平台,其接口可能会不同。

      另外,这方面的教程太技术化了,大部分读者都看不懂。
      真的想用云平台打造翻墙工具的网友,必定是有些技术水平的。即使俺不写这方面的教程,他们也可以自己搞定。

      删除
  20. 请博主得闲发布一下关于ICIJ的网志,唔该!

    回复删除
    回复
    1. TO 22楼的网友
      多谢提建议 :)
      这两天俺就在准备这方面的博文。一小时前刚刚发布了新博文《[url=http://program-think.blogspot.com/2014/01/china-princelings-offshore-companies.html]习包子露馅——习近平在内的权贵家族如何转移巨额资产[/url]》

      删除
  21. 謝謝樓主,辛苦了,新年快樂

    回复删除
  22. 在國外的server上架VPN應該也可以吧

    回复删除
    回复
    1. TO 24楼的网友
      确实是可以的。
      VPN 相当于全局代理。所以在 VPN 环境中,DNS 的网络流量也会经过 VPN server 中转——就可以避免域名污染。

      删除
  23. 博主,求200GB的数据,包括几大离岸金融中心的详细客户资料的整理版……

    回复删除
    回复
    1. 同求200GB
      這個出來一定是爆炸性的 堪比雷政富

      另外求證:帶套真的會染艾滋且查不出來嗎?看了前一篇有個得了艾滋病的留言后,心裡沒著沒落的,慚愧地表示自己嫖過的默默溜走。。。

      删除
    2. 这里有icij离岸金融解密数据库的链接:http://offshoreleaks.icij.org/

      具体原因看链接吧—http://non-violentes.blogspot.com/

      删除
    3. TO 25楼的网友
      多谢提建议 :)
      一小时前刚发了篇博文《[url=http://program-think.blogspot.com/2014/01/china-princelings-offshore-companies.html]习包子露馅——习近平在内的权贵家族如何转移巨额资产[/url]》
      文中有提到解密数据的下载。
      目前 ICIJ 提供的下载是整理后的数据(只有十几兆),原始数据是260GB

      删除
    4. TO 1单元的网友
      关于“避孕套和艾滋病”
      首先,艾滋病病毒是无法穿透传统乳胶安全套的——即使比艾滋病病毒小很多的乙肝病毒也无法穿透(网上有传言说可以穿透,是误传)
      其次,戴套可以提高安全系数,但【不是】百分百安全(因为有很多人使用不当)

      如果担心艾滋病,最好是别去嫖娼。

      删除
    5. TO 2单元的网友
      多谢分享链接 :)
      俺今天的博文也提到了 ICIJ 官网的查询界面和数据库下载链接。

      删除
  24. > 此次的 DNS 事故,纯粹就是 GFW 内部人员的误操作。
    编程君,这个说法是否被证实了?

    回复删除
    回复
    1. TO 26楼的网友
      “DNS 事故是 GFW 内部人员的误操作”
      这只是俺个人猜测。目前好像还没有直接证据证明这点。

      删除
  25. 我是25樓1單元 強迫癥發作又爬回來。今天看了前一篇那個艾滋病的留言后,自己就得了強迫癥,查了一整天關於艾滋的資料,都是一些官方說辭,英文又看不懂,很擔心啊。求樓主公佈艾滋真相。

    回复删除
    回复
    1. TO 27楼的网友
      请看俺在25楼的回复

      删除
  26. 编程君,看了你的博客很久了,很佩服你。但我发现你的博客提到跟你有关的情节越来越多,这是极不安全的,你要对自己负责,以后有关自己的情节一点点都不要透露。共产匪党为了它的统治没它不敢干的。

    回复删除
    回复
    1. 其实这个博主也可以释放一些假的个人信息,如做系统的说成网络的,做网络的说成做安全的,哈哈。当然,还是觉得博主肉身翻墙是最好的。这样之后可以把隐身的大部分精力放在工作和写博客上,博主的广大博客读者也不用整天为博主安全挂虑了。当然花点精力隐身还是必要的,毕竟亲人还会在国内。技术移民吧博主!刁总不断集权,中国未来真不知会走向何方。

      删除
    2. TO 28楼的网友
      非常感谢对俺的关心 :)
      《红楼梦》有云:假作真时真亦假,无为有处有还无
      俺博客中偶尔会提到跟俺本人相关的零星信息,这些信息未必是全真的,也未必是全假的。
      所谓“虚虚实实”方可增加追踪者的难度。

      删除
    3. TO 12345
      看来你对社会工程学也颇有心得嘛 :)

      关于移民问题
      之前也有读者提及。转贴俺之前的回答如下:
      --------
      肉身翻墙包括两层含义:
      一个是加入外国国籍,一个是居住到国外。
      排列组合,可以有三种情况:
      入外籍,住国外
      入外籍,住国内
      不入外籍,住国外(比如偷渡)

      所以这个问题要从两个角度回答。

      [b]为啥决定留在墙内[/b]
      方便参与各种线下的活动(比如参加群体性抗议活动)
      居住在天朝,每时每刻都可以切身体会到这个国家的“不正常”,这是俺写政治博文的动力

      [b]为啥俺不想入其它国籍[/b]
      入了外籍,再发表批评言论,就显得不够理直气壮。
      要宣誓效忠其它国家,这点俺觉得不爽

      删除
    4. 住在专制的国家里最担心的就是被周围环境体制化,上司的命令(通常是没有啥原则的)该怎么拒绝执行是个考验啊,否则监狱等着你,要么就流离失所吧!

      删除
    5. TO 4单元的网友
      关于“体制化”,俺之前专门写过一篇《[url=http://program-think.blogspot.com/2010/11/institutionalize.html]谈谈体制化,并推荐《肖申克的救赎》[/url]》
      另外,如何应对上司无理的命令,需要有一些技巧。

      删除
  27. 这帮狗日的,对咱国内老百姓猛如虎,饿如狼,对外就是别人的孙子,屁都不敢个。去年10月末,共匪三大海军主力舰船到西太平洋军演,本想吓吓老百姓的,结果大日本海军107号军舰在其演习区内横冲直撞,侦察机俯冲侦察,呆了三天三夜,共匪军屁都不敢放个,演习最后被迫中断,灰溜溜跑回去了,一艘大日本军舰就把共匪军屎尿都给吓出来了,从那以后共匪军再也不敢去那演戏了,要演戏只敢在黄海、东海这些内海演,要么借到台湾海峡跑到南海那边去演,因为那边没有大日本军队,这就是共匪。

    回复删除
    回复
    1. TO 29楼的网友
      咱们党国的军队,显然主要是用来对内的。
      想起资中筠的一句话:
      【[b]一百年了,没有长进;上面还是慈禧,下面还是义和团[/b]】

      删除
  28. 用谷歌的dns上不了wihiwi的主页,翻墙或者自动获取dns才上得了,这是怎么一回事

    回复删除
    回复
    1. 直接使用 Google 公用 DNS 服务器,只能避开电信运营商的DNS劫持,不能解决GFW的DNS污染。

      而且即使得到了正确的IP地址,但该IP地址被封锁,仍旧是无法访问的。

      删除
    2. TO 30楼的网友
      参见 1单元 的解答。

      TO Hugo Chan
      多谢替俺回答 :)

      删除
  29. 我想知道为什么以前用了谷歌的dns就会没有电信的广告,而现在用了还是会有电信广告呢?

    回复删除
    回复
    1. 是使用HTTP传输协议的网站出现了电信的广告?

      打电信客服电话投诉,不解决工信部网站投诉。

      删除
    2. TO 31楼的网友
      多半你访问的网站是 HTTP 协议而不是 HTTPS 协议。
      因为 HTTP 协议是不加密的,并且 ISP 控制你的上网通道。
      所以 ISP 可以直接在上网数据流中插入广告内容。

      这种植入广告属于极其流氓的做法。

      删除
  30. 想问随想君域名的结构和目录结构在查询时有什么区别呢?另外如果计算机有域名缓存,会不会因此泄露隐私?

    回复删除
    回复
    1. TO euphy lia
      你询问的“查询”具体是指啥?
      如果是域名的查询,本文已经介绍了。
      如果是目录结构,是不是指“搜索目录结构”?

      另外,本文提到的“域名缓存”是指域名服务器上的缓存,这个缓存跟普通网友的电脑没关系。

      删除
    2. 嗯,就是指搜索目录结构

      删除
    3. TO euphy lia
      对文件系统目录结构的搜索,通常用“递归”的方式进行。
      假如你学过计算机相关课程,可以参考其中的“树的遍历”

      删除
  31. 讲得很清楚、形象,受教了。

    回复删除
  32. 打算开一期nsa莫 还很好奇你是怎么知道这次dns污染的原因的

    回复删除
    回复
    1. 你可以看佐拉的博文,《关于中国境内用户访问.com 和.net 域名被解析到 65.49.2.178 一事我又有新发现》

      http://www.zhoushuguang.com/2014/01/root-servers.html

      删除
    2. TO 34楼的网友
      你是指“斯诺登事件”吗?
      关于这事儿,俺今后还会再发一篇博文,总结一下。

      关于 DNS 故障的原因
      是俺本人的推测。

      删除
    3. TO Hugo Chan
      多谢分享网文 :)
      周曙光的这篇,写得还是挺详细的。

      删除
  33. 打算开一期nsa莫 还很好奇你是怎么知道这次dns污染的原因的

    回复删除
    回复
    1. TO 35楼的网友
      尽量避免重复留言。俺已经在34楼回复了。

      删除
  34. 博主,下一篇顺便讲讲使用goagent翻墙的天朝电信宽带用户怎么避免DNS投毒,结合goagent3.1.5“提高 dnsproxy 可用性”扫下盲吧,个人不是很理解这个3.1.5的改进,我翻了墙还需要防止DNS投毒吗?

    回复删除
    回复
    1. TO 36楼的网友
      常见的翻墙工具有两大类:代理类 和 VPN类。
      如果是 VPN类,其效果相当于全局代理。也就是说,系统内的任何网络行为(包括 DNS解析)都会经由 VPN 通道中转。
      所以 VPN类 通常无需担心DNS污染

      对于 代理类
      有些网友只设置了浏览器的代理(只是让 Web 访问走代理),而 DNS解析 依然是直接联网。
      那么,就仍然存在 DNS 污染的风险

      删除
  35. 使用google的dns后再上google等网站,杀毒软件防火墙频繁提示遇到“dns投毒攻击”,想请教随想兄,防火墙软件是基于什么原理知道返回的数据被做了手脚的呢

    回复删除
    回复
    1. 博主上面回帖中已经有回答了(引用博主回帖):
      对于 DNS污染,因为攻击者需要伪造一个虚假的 DNS应答 的数据包。并且要确保虚假的应答比真实的应答先到你的电脑。
      也就是说,你的电脑会收到两个 DNS应答(通常操作系统会忽略后面那个)
      但是某些安全工具可以根据这个特点(一个DNS请求却收到两个应答),判断出遭遇 DNS欺骗

      删除
  36. 博主写的这篇文章真是通俗易懂啊!看得我津津有味!!!以前看过太多DNS相关文章了,看完了还是云里雾里!博主今天这么形象地一说,恍然大悟!!真是太感谢了!

    回复删除
    回复
    1. TO 李希烈
      多谢捧场 :)
      因为博客的读者很多,俺得照顾那些技术菜鸟。所以扫盲性的博文会尽量写得通俗一些。

      删除
  37. 其实除了DNS污染,一种比较耗费成本的方式还可以在交换机上做HTTP 302/301跳转,不过没投毒的方式高效。但是比起DNS污染绝对有效,DNS可以用dnscrypt兼TCP搞定,但是HTTP302/301非加密的基本都逃不掉...

    回复删除
    回复
    1. TO 39楼的网友
      俺个人分析:
      GFW 是部署在国际出口的,面对的流量非常非常大。
      这时候用DNS污染的方式,效率更高。

      因为大部分网友还是用的国内域名服务器,而DNS污染顺便还可以让国内的 DNS服务器的缓存中毒。
      对这些网友而言,他们解析到错误的 IP 地址,自然打不开目标网站——这种情况下,GFW 无需进行任何处理,没有压力。
      对于少部分使用国外域名服务器的网友,GFW 需要进行一定的处理。
      综上所述:
      对比 HTTP 重定向,显然域名污染更加合算(处理的数据量更小)

      删除
  38. 我非常认可民主,言论自由,小政府。但我认为国家间的竞争依然不可避免,所以中国人的事情要靠我们自己,包括争取民主自由。

    回复删除
    回复
    1. TO Jun Yao
      俺比较倾向“古典自由主义”,所以也偏好“小政府”。
      另外,俺也赞同你所说的,天朝的民主化进程,要靠国内的民众自己努力,不能寄希望于其它国家。

      删除
    2. 难,个人持悲观态度

      删除
  39. 有点好奇,“咱们天朝的互联网只有少数几个国际出口”??目前的中国的国际光缆出口不是汕头,上海,青岛吗?

    回复删除
    回复
    1. TO YOUNG YUAN
      天朝的互联网国际出口,俺知道的至少有三个:北京、上海、广州。

      删除
  40. 看来最不要脸的ZF非天朝伟光正莫属了。在越南,只要把DNS改成8.8.8.8,就可以很容易地访问Facebook等等所有网站,反越共的也一样。天朝这样整真是聪明反被聪明误啊,人们学会了搞多重代理,想要通过网络抓捕那些反共分子不像越南那么容易。

    回复删除
    回复
    1. TO 42楼的网友
      同意你说的。
      因为 GFW 具有敏感词过滤功能(基于深度包解析),逼得翻墙的同学采用加密代理。当加密代理普及之后,朝廷反而难以通过网络技术定位发贴人。如果用了多重代理,朝廷更加难以用网络技术进行定位。

      删除
  41. 随想博主,很感谢您一直以来对网络反GFW知识的普及!

    最近我在网上看到了一个私人性质在国内搭建的DNS服务器:OpenerDNS
    具体看这里https://code.google.com/p/openerdns/

    请博主评价一下这个DNS服务,我想拿来当“首选DNS”,但有点担心会不会里面掺杂一点“私货”,例如引导你到伪装的银行、淘宝什么的,感谢博主!

    回复删除
    回复
    1. 这个openerdns是不是42.120.21.30这个?我查过了,这个是阿里巴巴搞的,天朝内没有什么私人性质这种东西,还是小心使用为好,直接用opendns的208.67.222.222/220.220就可以了么,又快又稳定。

      删除
  42. TO 编程随想兄,什么时候谈谈GFW的另外“两板斧”?

    回复删除
  43. 求更新应对投毒……
    隐私,goagent,vpn连不上都与它有关。。。
    dnscrypt失效 chinadns,dnsforwarder,simpledns都有短板。。。
    真难

    回复删除
    回复
    1. dnscrypt应该还可以用吧,里面有很多server,可以多试试。
      可以到最新博文留言,这样被博主看到的几率大大增加

      删除
  44. http://who.is/whois/dns133.com 这个人网站的DNS劫持技术是原理能大概说下吗?

    回复删除
  45. 您好,博主。能写一篇除了dns劫持外的文章吗?比如http会话劫持

    回复删除
  46. 如果在天朝使用电信isp的域名服务器,访问了些被墙,揭露伟光正的站点,真理部会不会通过域名解析记录查询到我的信息。

    回复删除
  47. DNS劫持和DNS污染 具体有啥区别?不都是让网民得到错误的IP地址,然后打不开网页?还有网上说很多网站比如 youtube打不开是因为被墙,被墙就是用了DNS污染,为啥是DNS污染而不是DNS劫持啊?还有有点晕,就是说哪些现象是DNS劫持 哪些现象是DNS污染,希望 能帮我普及下 谢谢

    回复删除
    回复
    1. 别习惯性地做伸手党,随便google一下,一大堆结果,比如这个
      http://www.williamlong.info/archives/3356.html

      删除
  48. 好像命令提示符里面的nslookup -v 命令可以绕过dns污染

    回复删除
  49. 呵呵,加油... 如果有黑客能搞定某个服务器就好了,不过那些员工也都是被洗脑的 唉,还是出国简单

    回复删除