中共網絡封鎖技術漫談之三:國家級別的域名劫持(圖)

Twitter Facebook 轉發 打印
關注度:
【明慧網2003年12月10日】上一篇中談到,僅僅過濾網址和內容的關鍵字,是沒法封住利用加密手段建立的網站和代理的。那麼中共也一直在想如何從根本上封鎖住任何需要封鎖的網站。域名劫持就是不顧國際公約的黑客手段,在自己的網絡範圍內把別人的域名(網絡地址)改成假的IP地址,讓自己網絡範圍的人都沒法訪問別人的地址。

講到這裏,先需要解釋一下域名解析(DNS)的原理。大家平常見到的網絡地址,都是一個字符串的形式,比如 www.google.com 這樣的形式,而計算機實際上看不懂這樣的地址,他需要用域名解析(DNS查詢)的功能把字符串對應到真實的計算機能夠識別的網絡地址(IP地址,比如216.239.53.99 這樣的形式),然後才能夠進一步通信,傳遞網址和內容等。

在世界上一共有十幾個根本(Root)級別的域名服務器,中共卻沒有一個,那麼他就不能從根本上控制修改別人的域名。這個時候,它們就想到了利用上文中提到的,IDS監測系統來查找所有的域名解析(DNS查詢)請求,把其中的含有關鍵字的請求找到,然後返回一個假的地址,這樣就從根本上防止人們訪問被過濾的網站。

具體來說,比如人們想訪問一個網站 http://qingzhou.sytes.net , 那麼瀏覽器先需要查找DNS服務器,看這個域名qingzhou.sytes.net對應的IP地址是哪裏,然後才能進一步發出訪問請求。由於國內沒有根本級別的域名服務器,所以會一級一級的查詢到海外來。而在大陸ISP的骨乾網絡節點的監視系統就會捕捉到這樣的請求,然後返回一個假的IP地址(一般是隨機的從下面3個地址中挑一個:88.88.88.88 , 65.80.152.100 , 64.33.88.161)。 由於假的IP地址返回速度一般都比真實的IP快,那麼瀏覽器等網絡工具就會先認識假的IP地址,從而無法訪問真實的網站。 一般的用戶是根本識別不了這樣的技術差別,□是知道無法訪問那個網站,卻根本不知道這是由於網絡過濾造成的。


域名劫持的例子

這樣的技術,在大陸的全國範圍內應用,確實算得上是世界第一的封網技術(大陸的網民大概也算是世界第一悲哀的)。當然它也有弱點,新版的一些破網軟件都有能力突破這樣的封鎖。一個弱點是,它不是很穩定,在某些網絡速度快的地方,真實的IP地址返回的比假的地址要快, 這個是由於前面說到的,監測這麼巨大的數據流量也是要花費一定時間的。大家可能還記得,在2002年中,有一段時間香港新浪網的地址被指向法輪功的明慧網,大家都覺得奇怪,沸沸揚揚的各種說法也很多。其實當時就是在測試應用這套過濾系統,而系統中有不完善的地方造成的。因為主要的目標就是封鎖住法輪功的信息,所以這套系統開始時返回的假IP地址都是那個明慧網的IP地址,後來才改為從3個IP地址隨機返回一個。

對於具體域名的過濾,中共還是採用了寧可錯殺三千,也不放過一個的策略,對海外的一些著名域名服務商提供的域名服務,都進行了域名劫持。比如比較有名的免費域名服務www.no-ip.com,為全世界各地的網民提供了很好的免費域名服務。而中共為了封鎖某些網站,就把所有的no-ip.com, no-ip.org, myftp.org等等的域名關鍵字都加入了劫持的列表,這樣所有的大陸網民都無法訪問用這樣域名的網站了。

同時,為了對付各種突破封鎖的軟件,中共也開始不斷地封鎖海外的DNS服務器。動態網的一位朋友曾經告訴筆者,中共為了封鎖破網軟件的DNS查詢,已經封鎖了200多個北美的DNS服務器,其中包括很多大學的服務器。

這樣的封鎖,依然是有方法可以突破的。一個是利用海外的一些在線IP地址查詢服務,可以查找到網站的真實IP地址。比如http://216.92.207.177/tools1.htm, 就可以查詢網站的真實IP。在Google上搜索一下,會找到更多類似的服務。 另一個方法就是使用目前的突破網絡封鎖的工具,他們都具備查詢真實IP的功能。不過這樣的方法,□能夠訪問那些可以直接用IP訪問的站點,對於幾個網站共用一個IP的就沒法訪問了。那麼一個更好的方法,就是利用突破封鎖軟件提供的代理功能,這樣就可以直接訪問各種各樣的海外網站了。

下一次會介紹現有的突破封鎖的軟件,他們可是能夠突破世界第一的網絡封鎖哦。具體詳細的內容,下次再談吧。

本文章或節目明慧網版權所有,非盈利轉載請註明
來源明慧網,並包含明慧網原文標題及原文鏈接。