中国的DNS劫持系统(stupid girl,石龙乡SEO) - 2014年1月22日更新报告

发布时间:2020-06-13 08:32 编辑:西极电力网

中国于2002年开始使用DNS劫持技术封锁网站。动态网络技术公司(DIT)于2002年10月2日发布一份报告演示这种技术如何运作。这些年来,我们对于中国如何使用这种DNS劫持技术有了更多的了解。2014年1月21日,中国由于DNS劫持发生大规模网站断网。我们觉得现在是发布关于这个系统的更多信息的好时候。

什么是DNS

DNS是将域名翻译成IP地址的服务。互联网上的电脑依靠IP地址找到彼此以互通信息。DNS服务就好像寻号台服务,把人们熟悉的人名翻译成电话号码。当用户使用浏览器比如火狐浏览器浏览网页时,比如想上大纪元网站,火狐浏览器会与DNS服务器通话,找到大纪元网站的IP地址。然后火狐浏览器才能上到大纪元网站。

什么是DNS劫持

当有DNS劫持发生时,用户可能会看到错误信息,或警告信息,或者上到错误的网站。

DNS劫持的过程是这样的:一台恶意的电脑会监控用户与DNS服务器之间的对话,然后代表真正的DNS服务器给用户返回一个错误的IP地址。这个过程有点像电影《十一罗汉》中的情节:盗贼控制了赌场的电话系统,当赌场打电话紧急求救时,盗贼接听了电话,然后派一个盗贼团队进入了赌场的金库。

这种攻击需要攻击者有能力监控用户的所有数据流,并需要CPU资源处理这些数据。这种情形在很多针对小公司网络安全的书籍中都解释过。但是这种攻击从未在网络服务商ISP范围发生过。ISP的网络更复杂,没有一个单一的点可以监控所有的数据流。

在家里演示DNS劫持

2014年1月21日放生在中国的大规模网站断网事件大部分已经恢复正常了。但是DNS劫持仍在持续中。我们可以通过被劫持的网站,了解一下断网时的情形。

2002年,DIT列出12个域名被劫持的网站。时至今日,其中7个仍然域名被劫持。这7个网站如下:







如果你可以操作一个位于中国的电脑。在Linux操作系统下,可以打这个指令:

host -t A epochtimes.com.dwlc 8.8.8.1

你会得到一个类似这样的回答:

epochtimes.com.dwlc has address 203.98.7.65

这个返回的IP地址是错误的,原因如下:

1)8.8.8.1 并不是一个DNS服务器。如果你在一台美国的电脑打这个指令,返回的是超时错误。

2)epochtimes.com.dwlc 并不是一个有效的域名。DNS服务器应该回答说“找不到”而不是返回一个IP地址。这个回答一定是来自长城防火墙的DNS劫持系统。

在Windows操作系统下做这个测试,可以打这个指令:

nslookup epochtimes.com.dwlc 8.8.8.1

据我们观察,DNS劫持系统可能会返回过几个不同的IP地址。这是我们收集到的一些IP地址:

159.106.121.75
203.98.7.65
243.185.187.39
37.61.54.158
46.82.174.68
59.24.3.173
78.16.49.15
8.7.198.45
93.46.8.89

这个列表会慢慢的变化,有时不同的ISP返回不同的IP地址。

以上这个测试暴露了DNS劫持系统的一个漏洞。它会匹配”epochtimes.com”这个字符串。如果找不到"epochtimes.com”,就不会返回假IP地址。如果域名中包括"epochtimes.com”,比如”epochtimes.com.cn“,这个域名也会被劫持。

如果DNS劫持系统的黑名单中有一个空的字符串,所有的域名都会被劫持。这就是2014年1月21日发生的事情。

可以理解,在一个文本文件中,最后加一个空行很难看得出来。

在美国演示DNS劫持

在一台美国的Linux电脑上, 打这个指令:

host -t A epochtimes.com.dwlc 163.com

163.com是中国的一个网站,不是一个DNS服务器。而且,“epochtimes.com.dwlc”这个域名根本不存在。但是,打上面这个指令会收到以下回复:

epochtimes.com.dwlc has address 203.98.7.65

这是因为DNS劫持系统有另外一个缺陷。它不能分辨DNS询问是进中国还是出中国的。它监控所有进出中国的流量,一旦发现域名与黑名单有匹配,就返回一个错误的IP地址。这样我们就可以在中国以外研究DNS劫持系统。

DNS劫持系统的部署

因为DNS劫持系统所针对的域名都在海外,部署DNS劫持系统最有效的地方是在国际网关,从那里监控所有进出中国的流量。

根据2013年12月的CNNIC报告,进出中国的流量是3400Gbps,,年增长是79.3%。要监控这样一个迅速增长的流量,DNS劫持系统必须持续升级服务器和加新的CPU。

2014年1月21日,所有的域名都被指向一个自由门的IP地址,只有DNS劫持系统才有充足的资源和地理位置这么做。没有黑客有能力部署和控制资源,对3400Gbps的流量进行如此精确操作,来只改变与DNS有关的通信。

21日事件的更多细节

TAG: seo优化代码 惠州seo外包 seo排名资讯 seo工作原理 超级seo外链工具 seo方式 合川seo 昆明seo公司 八禾seo 四川seo博客 seo文案类型 姜海seo 学seo 宾馆seo seo经理招聘 seo文案案例 免费网站seo诊断 开封seo seo唐勇 seo公关

上一篇:sindrili(朱老庄乡SEO,新生乡SEO)n的小巢 下一篇:dns被劫持或提示配(囊谦县,东阳镇SEO)置错误,该怎么解决

相关阅读

精彩推荐