liumwei的个人博客分享 http://blog.sciencenet.cn/u/liumwei

博文

翻墙越狱——网络信息浏览的中国特色动作(3)

已有 10548 次阅读 2011-5-9 21:20 |个人分类:资源共享|系统分类:科研笔记| 中国

第一季(1)(2)说明了一些简单的翻墙方法,本篇将逐步深入:DNS劫持与污染后的翻墙

很多网页之所以不能访问,其主要的原因是相应的域名或IP被通过技术手段屏蔽。当然,这种技术手段多基于软件层次,到目前为止还没有看见过基于硬件层次,如拔掉网线的方式来屏蔽。既然这样,那么就有相应的技术手段来反劫持和烦污染。

如下所示,不断将链接重置的情况就是网络服务提供商典型的筑墙手段:

bioinfoserv@ThinkPadX60s:wget http://188.40.116.150/contents/lmingwei/BioInfoServ/4.0/ISO/bioinfoserv4.0.iso?dl=1
--2011-05-09 19:22:50--  https://188.40.116.150/contents/lmingwei/BioInfoServ/4.0/ISO/bioinfoserv4.0.iso?dl=1
正在连接 188.40.116.150:80... 已连接。
已发出 HTTP 请求,正在等待回应... 读取文件头错误 (连接被对端重置)。
重试中。


电信屏蔽google常常采用这种方式对待http类的访问。实际上,这种屏蔽的方法不是连接对端不通,只是链接不断被打断而已。有时过一断时间就好了。不过,这样手段让人很鄙夷。

还有一种情况,就是使用ADSL上网的同志们,拨号进入网络后,打开页面,往往第一跳出来的是电信的星空互联的广告。其次,如果你无意输错了域名,会跳出114的纠正提示页面。它们都是一种典型的流氓行为。

DNS劫持,是网络运营商或信息提供商通过某些手段,取得对域名的解析、记录及修改控制权,从而导致此域名真实IP地址转变成为一个修改的IP地址。最终,使用户所访问的页面专向一个错误的页面或者一个完全伪装的网页。而DNS污染,则是将真实域名的IP地址修改为一个虚假目标的主机IP地址,从而中断用户与真实域名IP通信。DNS劫持,总来说,似乎网络还通,只不过会转向另外一个无关的站点,而DNS污染,可让用户完全不能访问网络。

解决第一种情况,一般只需要修改网络设置里的DNS即可,而如果出现DNS污染,那么就需要修改系统中的hosts文件才能解决(至于其中的缘由,看看这篇博文就比较清楚了)。

方法一、修改DNS防止DNS劫持


在windows下打开网络链接,将IP地址选项打开,将属性里的默认DNS服务器修改为一些安全、不作恶的DNS地址。常见比较好的DNS地址如下:

Google 公共DNS地址:8.8.8.8和8.8.4.4
诺顿公共DNS地址:198.153.192.1和198.153.194.1
OpenDNS地址:208.67.222.222和208.67.220.220
OpenDNS Family地址:208.67.222.123,和208.67.220.123
Comodo Secure DNS地址:156.154.70.22和156.156.71.22
ScrubIt DNS地址:67.138.54.100和207.225.209.66
DNS Advantage地址:56.154.70.1和156.154.71.1

Linux系统下,可直接修改/etc/resolv.conf,按以下格式编辑保存:

nameserver #定义DNS服务器的IP地址
domain #定义本地域名
search #定义域名的搜索列表
sortlist #对返回的域名进行排序
nameserver 8.8.8.8 #google公共DNS地址
nameserver 67.138.54.100 #OpenDNS服务地址
domain bioinfoserv.org #本机域名(一般用于本机具有相应的域名,即将本机绑定到某个域名上)
search bioinfoserv.org www.bioinfoserv.org deb.bioinfoserv.org (绑定二级域名地址)

方法二、修改hosts文件防止DNS污染


DNS污染常常会在系统的hosts文件自动加入修改后的IP地址,因此,我们可以手工将自动加入的污染IP地址清除,然后将域名所对应的真实IP地址写入该文件中就可以了。

windows系统对应的hosts文件在系统盘下WindowsSystem32driversetchosts中,linux系统对应的hosts文件为/etc/hosts,格式如下(下面列表收集了一些常见被筑墙的域名真实IP地址):

#Twitter
199.59.148.88 twitter.com
199.59.148.88 www.twitter.com
199.59.148.88 api.twitter.com
199.59.148.88 search.twitter.com
#Google
95.163.15.121 webcache.googleusercontent.com
209.85.225.101 docs.google.com
74.125.127.100 writely.google.com
74.125.127.100 services.google.com
74.125.127.100 sites.google.com
74.125.153.138 spreadsheets.google.com
74.125.127.139 spreadsheets.google.com
209.85.225.102 groups.google.com
209.85.225.104 reader.google.com
74.125.127.101 calendar.google.com
72.14.203.118 wave.google.com
74.125.47.139 clients1-48.google.com
74.125.227.4 encrypted.google.com
209.85.147.109 pop.gmail.com
209.85.147.109 smtp.gmail.com
66.102.7.19 mail.google.com
209.85.225.102 groups.google.com
72.14.203.118 wave.google.com
74.125.47.102 clients1.google.com
74.125.47.100 clients2.google.com
72.14.213.100 clients3.google.com
72.14.213.113 clients4.google.com
72.14.213.113 clients5.google.com
72.14.213.101 clients6.google.com
#wuala
188.40.121.101 www.wuala.com
188.40.61.195 forum.wuala.com
188.40.61.195 stats.wuala.com
188.92.145.8
content.wuala.com
188.92.145.8 content1.wuala.com
188.40.116.150 content2.wuala.com
188.40.102.87 content3.wuala.com
78.46.51.217 content4.wuala.com
188.40.63.19 content5.wuala.com
188.40.128.4 content6.wuala.com
88.198.7.139 content7.wuala.com
188.40.100.75 content8.wuala.com
188.40.66.143 content9.wuala.com
188.40.100.77 content10.wuala.com

#isohunt
208.95.172.130 isohunt.com


注意,上面的DNS和hosts文件编辑后,需要让浏览器获知DNS的更新和hosts文件的改变。常规的办法是直接关闭浏览器,然后重新打开以及将系统网络重新链接。如果觉得这个过程麻烦一点,那么可以安装Firefox插件HostAdminSwitchHosts来进行管理和更新。安装hostAdmin后,只需将浏览器重启一次,以后hosts文件的每一次编辑,firefox都会及时地获知和更新,从而是浏览更加顺利。

方法三、将常见的http换成https浏览,或者将域名换成对应的真实IP地址访问

https属于加密类浏览,也就是用户端发出的指令、字符或其他信息被加密后传给服务端,这降低了网络监视者(典型的就是中国国内所谓的“网络长城“监视、拦截或堵截)拦截敏感字段所造成的暂时性访问中断或重置。另外,砌墙简单的方法是对域名访问进行过滤。例如,常常你会发现,采用www.google.com域名访问通常会被无缘无故地打扰、中断或者重置。

法一,就是采用加密链接访问。常用的就是https链接方式。很多站点为了避免被砌墙,会提供这种加密方式浏览。以下是一些提供https加密浏览方式的站点(主要罗列了Google,关于Google的使用问题,后面会有相应的博文单独讲述它的使用问题和解决办法):

http://www.dropbox.com——>https://www.dropbox.com
http://www.google.com——>https://www.google.com或https://encrypted.google.com
http://mail.google.com——>https://mail.googel.com
http://market.android.com——>https://market.android.com
http://docs.google.com——https://docs.google.com
http://picasaweb.google.com——https://picasaweb.google.com
http://www.google.com/reader/——https://www.google.com/reader/
http://video.google.com——https://video.google.com
http://news.google.com——>https://news.google.com
http://video.google.com——>https://video.google.com
http://pages.google.com——>https://pages.google.com
http://www.google.com/calendar——>https://www.google.com/calendar
http://maps.google.com——>https://maps.google.com

加密浏览可能是最好的一种翻墙方式,https只是其中最简单的一种方式。其他加密方式,还有ssh通道加密和OpenVPN方式。这两种方式,将在后面的文章进行说明。

法二、直接采用真实IP地址访问。如果遭遇到访问域名被砌墙(症状是域名访问时被重置,采用ping命令可以发现通道其实是通的情况。如果IP不通,那么这个方法显然是失效的,那么就需要进行深入地翻墙。见下篇所提及的SSH及VPN翻墙内容),那么不妨试试用其真实的IP地址进行访问。

至于域名对应打真实IP,上面的hosts文件中已经罗列了一些。如果不清楚,可以使用一些工具进行查询,这些工具有:
http://www.webyield.nethttp://cqcounter.com/whois/,利用这些工具,可以清晰地获得其真实IP地址或者IP地址段。如果你有编程能力,那么可以利用这些查询工具,批量获得域名的IP地址列表。此外,像http://block.opendns.comhttp://www.blacklistalert.org/http://whatismyipaddress.com/,则提供了砌墙检测服务。利用它,你可以查看你的IP地址被砌墙的基本情况。


https://blog.sciencenet.cn/blog-563198-442364.html

上一篇:翻墙越狱——网络信息浏览的中国特色动作(2)
下一篇:生物信息系统 BioInfoServ 5.0计划启动
收藏 IP: 202.127.28.*| 热度|

4 覃伟 蒋迅 vigorous zdlh

发表评论 评论 (2 个评论)

数据加载中...
扫一扫,分享此博文

全部作者的精选博文

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-12-21 08:21

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部