基础知识介绍:国家级别的域名劫持
上一篇中谈到,仅仅过滤网址和内容的关键字,是没法封住利用加密手段建立的网站和代理的。那么中共也一直在想如何从根本上封锁住任何需要封锁的网站。域名劫持就是不顾国际公约的技术手段,在自己的网络范围内把别人的域名(网络地址)改成假的IP地址,让自己网络范围的人都没法访问别人的地址。
讲到这里,先需要解释一下域名解析(DNS)的原理。大家平常见到的网络地址,都是一个字符串的形式,比如 www.google.com 这样的形式,而计算机实际上看不懂这样的地址,他需要用域名解析(DNS查询)的功能把字符串对应到真实的计算机能够识别的网络地址(IP地址,比如216.239.53.99 这样的形式),然后才能够进一步通信,传递网址和内容等。
在世界上一共有十几个根本(Root)级别的域名服务器,中共却没有一个,那么他就不能从根本上控制修改别人的域名。这个时候,它们就想到了利用上文中提到的,IDS监测系统来查找所有的域名解析(DNS查询)请求,把其中的含有关键字的请求找到,然后返回一个假的地址,这样就从根本上防止人们访问被过滤的网站。
具体来说,比如人们想访问一个网站 http://yuming.flnet.org , 那么浏览器先需要查找DNS服务器,看这个域名yuming.flnet.org对应的IP地址是哪里,然后才能进一步发出访问请求。由于国内没有根本级别的域名服务器,所以会一级一级的查询到海外来。而在大陆ISP的骨干网络节点的监视系统就会捕捉到这样的请求,然后返回一个假的IP地址。 由于假的IP地址返回速度一般都比真实的IP快,那么浏览器等网络工具就会先认识假的IP地址,从而无法访问真实的网站。 一般的用户是根本识别不了这样的技术差别,只是知道无法访问那个网站,却根本不知道这是由于网络过滤造成的。
域名劫持的例子
这样的技术,在大陆的全国范围内应用,确实算得上是世界第一的封网技术(大陆的网民大概也算是世界第一悲哀的)。对于具体域名的过滤,中共还是采用了宁可错杀三千,也不放过一个的策略,对海外的一些著名域名服务商提供的域名服务,都进行了域名劫持。比如比较有名的免费域名服务www.no-ip.com,为全世界各地的网民提供了很好的免费域名服务。而中共为了封锁某些网站,就把所有的no-ip.com, no-ip.org, myftp.org等等的域名关键字都加入了劫持的列表,这样所有的大陆网民都无法访问用这样域名的网站了。
同时,为了对付各种突破封锁的软件,中共也开始不断地封锁海外的DNS服务器。动态网的一位朋友曾经告诉笔者,中共为了封锁破网软件的DNS查询,已经封锁了200多个北美的DNS服务器,其中包括很多大学的服务器。