简单的介绍:域名污染
本文摘要:什么是“域名污染”?先提醒一下:“域名污染”这个词还有其它几个别名,分别是“域名欺骗”、“域名缓存投毒”(洋文叫:DNS cache poisoning)。将来看到这几个别名,要知晓是同一

啥是“域名污染”?

先提醒一下:“域名污染”这个词还有其它几个别名,分别是“域名欺骗”、“域名缓存投毒”(洋文叫:DNS cache poisoning)。以后看到这几个别名,要知道是同一个意思。

“域名污染”的原理,容易说来是如此滴:当你的电脑向域名服务器发送了“域名查看”的请求,然后域名服务器把回话发送给你的电脑,这之间是有一个时间差的。

假如某个攻击者可以在域名服务器的“DNS应答”还没到达你的电脑之前。

先伪造一个错误的“DNS应答”发给你电脑。

那样你的电脑收到的就是错误的信息,并得到一个错误的 IP地址。

哪个有“域名污染”的企图?

从技术上讲,只须攻击者可以坐落于“你”和“域名服务器”的传输线路中间。

那样攻击者就有机会搞“域名污染”可以做到这点的,可能是一个黑客/骇客,也会是 ISP。

不过这部分都不是本节聊的重点。

本节的重点是 G./F./W 防火墙——它是最有资源搞域名污染的,同时也最有意愿搞域名污染的。

举例:

譬如某个海外网站,长年累月地抹黑咱们伟大光荣正确的TC,搞得咱们的“TC”非常没面子,非常不爽。还有发布一些科学上网方法,那样朝廷的“真理部”就会给 防火墙 下达封杀令——需要 防火墙 全方位封锁某某网站。对于 防火墙 而言,要全方位封掉某个网站。

最容易的一个方法就是直接污染该网站的域名。

用了这招之后,那些不懂翻墙的网友只须是通过【域名的方法】访问该网站,他们的电脑进行 DNS查看 之后,多半会得到错误的结果(也就是说,查到的 IP地址 是假的);

既然拿到假的 IP地址,当然就没办法打开这个网站的页面啦。

防火墙的两种“域名污染”

刚刚俺讲解了“域名污染”的原理,那种形式可以称为“直接污染”。因为 防火墙 的特殊性,它不但可以做到“直接污染”,还可以做到“间接污染”。

而一般的骇客顶多只能做到“直接污染”难以做到“大范围的间接污染”。 那样这两种污染有什么不同捏?且听俺细细道来。

防火墙部署在哪?

第一有必要先扫盲一下“防火墙的部署地方”。

咱们天朝的网络只有少数几个国际出口(知名度较大的是:北京出口、上海出口、广州出口)。假如你要访问天朝以外的网站,你的互联网数据流就一定会经过其中的某个“国际出口”。

而天朝的【每个】国际出口都部署了 防火墙 的设施。

说到 防火墙 的设施,顺便插一句:防火墙(G. F. W)是洋文“Great FireWall”的缩写,不少同学(包括不少懂技术的同学)都望文生义,想当然地以为 G. F. W 就是某种“防火墙”设施。

其实不然,防火墙 是基于 IDS(IDS是“入侵监测系统”的缩写)塑造的。

有空的话,俺再来聊聊 防火墙 本身的技术细则。

防火墙的直接污染:由于 防火墙 部署在天朝的国际出口。假如你用的是【海外的】域名服务器,你的“DNS请求”一定会经过国际出口;

同样,域名服务器的“DNS应答”一定也会经过国际出口才能到你的电脑。这一来一回就给防火墙提供了拦截的机会。这种污染就是俺所说的“直接污染”。

防火墙的间接污染:刚刚介绍了“用海外域名服务器会被直接污染”那假如你用的是【国内的】域名服务器捏?就会被“间接污染”。

过程如下

比如你用的是电信的 DNS服务器,然后你想要访问某个(被封杀的)不河蟹网站。对于被封杀的网站,其网站服务器一定在海外,而且网站的域名一定也不会用 CN 之下的域名。所以,被封锁的网站,其上级域名的“权威域名服务器”一定也是在海外。当你向“电信的DNS服务器”查看不河蟹网站的域名,这台“电信的DNS服务器”就会去找这个不河蟹网站的上一级域名对应的“权威域名服务器”去进行“域名查看”。由于是从海外进行域名查看,有关的数据流一定要经过国际出口。一旦经过国际出口,就会被 GFW 污染。这样一来“电信的域名服务器”拿到的是已经被污染的域名记录(里面的IP是错的)。而且“电信的域名服务器”会把这条错误的记录保存在我们的域名缓存中。下次假如有另一个网友也找这台“电信的域名服务”查看这个不河蟹网站,也会查到错误的结果。

上述过程不断重复,最后会致使:全国所有些域名服务器,它们的缓存中只须是包含了那个不河蟹网站的记录,记录中的 IP地址 一定是错的(这个错误的 IP地址 也就是 防火墙 伪造的那个)。

所以说“间接污染”是非常牛逼的,可以把错误的域名记录扩散到全国。

刚刚俺说了“域名污染”也叫“域名缓存投毒”。“投毒”一词真的很形象——就好象在某条河流的源头下毒,从而把整条河流的水都污染。在网络年代搞“域名污染”是很**下流的。

由于 DNS 是网络的基础设施,而“域名污染”直接破坏了网络的基础设施。

相关内容