域名被墙查询

当前位置: 主页 > 域名被墙 >

GFW的两种“域名污染”

时间:2020-11-22 14:30来源:域名被墙处理 作者:域名查墙 点击:
刚才俺解释了“域名污染”的原理,那种形式不妨称为“直接污染”。
刚才俺解释了“域名污染”的原理,那种形式不妨称为“直接污染”。由于 GFW 的特殊性,它不但可以做到“直接污染”,还可以做到“间接污染”。而普通的骇客顶多只能做到“直接污染”,难以做到“大范围的间接污染”。
 
那么这两种污染有啥区别捏?且听俺细细道来。
 

◇GFW部署在哪?

 
首先有必要先扫盲一下“GFW的部署位置”。咱们天朝的互联网只有少数几个国际出口(名气较大的是:北京出口、上海出口、广州出口)。如果你要访问天朝之外的网站,你的网络数据流就必定会经过其中的某个“国际出口”。而天朝的【每一个】国际出口都部署了 GFW 的设备。
 
说到 GFW 的设备,顺便插一句:
 
GFW 是洋文“Great FireWall”的缩写。很多同学(包括很多懂技术的同学)都望文生义,想当然地以为GFW就是某种“防火墙”设备。其实不然。GFW 是基于 IDS(IDS是“入侵监测系统”的缩写)打造的。有空的话,俺再来聊聊 GFW 本身的技术细节。
 

◇GFW 的直接污染

 
因为 GFW 部署在天朝的国际出口。如果你用的是【国外的】域名服务器,你的“DNS请求”必定会经过国际出口;同样,域名服务器的“DNS应答”必定也会经过国际出口才能到你的电脑。这一来一回就给 GFW 提供了耍流氓的机会。
 
这种污染就是俺所说的“直接污染”。
 

◇GFW 的间接污染

 
刚才介绍了“使用国外域名服务器会被直接污染”。那如果你用的是【国内的】域名服务器捏?就会被“间接污染”。过程如下:
 
比方说你用的是电信的 DNS服务器,然后你想要访问某个(被封杀的)不河蟹网站。
 
对于被封杀的网站,其网站服务器必定在国外,而且网站的域名肯定也不会使用CN之下的域名。所以,被封锁的网站,其上级域名的“权威域名服务器”肯定也是在国外。
 
当你向“电信的DNS服务器”查询不河蟹网站的域名,这台“电信的DNS服务器”就会去找这个不河蟹网站的上一级域名对应的“权威域名服务器”去进行“域名查询”。
 
因为是从国外进行域名查询,相关的数据流必定要经过国际出口。一旦经过国际出口,就会被GFW污染。
 
如此一来,“电信的域名服务器”拿到的是已经被污染的域名记录(里面的IP是错的)。而且“电信的域名服务器”会把这条错误的记录保存在自己的域名缓存中。
 
下次如果有另一个网友也找这台“电信的域名服务”查询这个不河蟹网站,也会查到错误的结果。
 
上述过程不断重复,最终会导致:全国所有的域名服务器,它们的缓存中只要是包含了那个不河蟹网站的记录,记录中的 IP地址必定是错的(这个错误的IP地址也就是GFW 伪造的那个)。所以说“间接污染”是很牛逼的,可以把错误的域名记录扩散到全国。
 
刚才俺说了,“域名污染”也叫“域名缓存投毒”。“投毒”一词真的非常形象——就好象在某条河流的源头下毒,从而把整条河流的水都污染。在互联网时代搞“域名污染”是非常卑鄙下流的。因为 DNS 是互联网的基础设施,而“域名污染”直接破坏了互联网的基础设施。
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片
栏目列表
推荐内容
友情链接 域名查询域名检测工具网站查询网