講到這裏,先需要解釋一下域名解析(DNS)的原理。大家平常見到的網絡地址,都是一個字符串的形式,比如 www.google.com 這樣的形式,而計算機實際上看不懂這樣的地址,他需要用域名解析(DNS查詢)的功能把字符串對應到真實的計算機能夠識別的網絡地址(IP地址,比如216.239.53.99 這樣的形式),然後才能夠進一步通信,傳遞網址和內容等。
在世界上一共有十幾個根本(Root)級別的域名服務器,中共卻沒有一個,那麽他就不能從根本上控製修改別人的域名。這個時候,它們就想到了利用上文中提到的,IDS監測係統來查找所有的域名解析(DNS查詢)請求,把其中的含有關鍵字的請求找到,然後返回一個假的地址,這樣就從根本上防止人們訪問被過濾的網站。
具體來說,比如人們想訪問一個網站 http://qingzhou.sytes.net , 那麽瀏覽器先需要查找DNS服務器,看這個域名qingzhou.sytes.net對應的IP地址是哪裏,然後才能進一步發出訪問請求。由於國內沒有根本級別的域名服務器,所以會一級一級的查詢到海外來。而在大陸ISP的骨幹網絡節點的監視係統就會捕捉到這樣的請求,然後返回一個假的IP地址(一般是隨機的從下麵3個地址中挑一個:88.88.88.88 , 65.80.152.100 , 64.33.88.161)。 由於假的IP地址返回速度一般都比真實的IP快,那麽瀏覽器等網絡工具就會先認識假的IP地址,從而無法訪問真實的網站。 一般的用戶是根本識別不了這樣的技術差別,□是知道無法訪問那個網站,卻根本不知道這是由於網絡過濾造成的。
域名劫持的例子 |
這樣的技術,在大陸的全國範圍內應用,確實算得上是世界第一的封網技術(大陸的網民大概也算是世界第一悲哀的)。當然它也有弱點,新版的一些破網軟件都有能力突破這樣的封鎖。一個弱點是,它不是很穩定,在某些網絡速度快的地方,真實的IP地址返回的比假的地址要快, 這個是由於前麵說到的,監測這麽巨大的數據流量也是要花費一定時間的。大家可能還記得,在2002年中,有一段時間香港新浪網的地址被指向法輪功的明慧網,大家都覺得奇怪,沸沸揚揚的各種說法也很多。其實當時就是在測試應用這套過濾係統,而係統中有不完善的地方造成的。因為主要的目標就是封鎖住法輪功的信息,所以這套係統開始時返回的假IP地址都是那個明慧網的IP地址,後來才改為從3個IP地址隨機返回一個。
對於具體域名的過濾,中共還是采用了寧可錯殺三千,也不放過一個的策略,對海外的一些著名域名服務商提供的域名服務,都進行了域名劫持。比如比較有名的免費域名服務www.no-ip.com,為全世界各地的網民提供了很好的免費域名服務。而中共為了封鎖某些網站,就把所有的no-ip.com, no-ip.org, myftp.org等等的域名關鍵字都加入了劫持的列表,這樣所有的大陸網民都無法訪問用這樣域名的網站了。
同時,為了對付各種突破封鎖的軟件,中共也開始不斷地封鎖海外的DNS服務器。動態網的一位朋友曾經告訴筆者,中共為了封鎖破網軟件的DNS查詢,已經封鎖了200多個北美的DNS服務器,其中包括很多大學的服務器。
這樣的封鎖,依然是有方法可以突破的。一個是利用海外的一些在線IP地址查詢服務,可以查找到網站的真實IP地址。比如http://216.92.207.177/tools1.htm, 就可以查詢網站的真實IP。在Google上搜索一下,會找到更多類似的服務。 另一個方法就是使用目前的突破網絡封鎖的工具,他們都具備查詢真實IP的功能。不過這樣的方法,□能夠訪問那些可以直接用IP訪問的站點,對於幾個網站共用一個IP的就沒法訪問了。那麽一個更好的方法,就是利用突破封鎖軟件提供的代理功能,這樣就可以直接訪問各種各樣的海外網站了。
下一次會介紹現有的突破封鎖的軟件,他們可是能夠突破世界第一的網絡封鎖哦。具體詳細的內容,下次再談吧。有什麽意見、建議,歡迎到動態網的論壇上去交流哦。http://www.dongtaiwang.com (大陸需要用該網站上的最新域名來訪問)。
首發於《大紀元》,歡迎轉載,轉載請注明。(http://www.dajiyuan.com)
11/29/2003 1:31:50 PM