国家级别的域名劫持

作者：长剑在手

上一篇中谈到，仅仅过滤网址和内容的关键字，是没法封住利用加密手段建立的网站和代理的。那么中共也一直在想如何从根本上封锁住任何需要封锁的网站。域名劫持就是不顾国际公约的技术手段，在自己的网络范围内把别人的域名（网络地址）改成假的IP地址，让自己网络范围的人都没法访问别人的地址。

讲到这里，先需要解释一下域名解析（DNS)的原理。大家平常见到的网络地址，都是一个字符串的形式，比如www.google.com这样的形式，而计算机实际上看不懂这样的地址，他需要用域名解析（DNS查询）的功能把字符串对应到真实的计算机能够识别的网络地址（IP地址，比如216.239.53.99这样的形式），然后才能够进一步通信，传递网址和内容等。

在世界上一共有十几个根本（Root)级别的域名服务器，中共却没有一个，那么他就不能从根本上控制修改别人的域名。这个时候，它们就想到了利用上文中提到的，IDS监测系统来查找所有的域名解析（DNS查询）请求，把其中的含有关键字的请求找到，然后返回一个假的地址，这样就从根本上防止人们访问被过滤的网站。

具体来说，比如人们想访问一个网站http://qingzhou.sytes.net,那么浏览器先需要查找DNS服务器，看这个域名qingzhou.sytes.net对应的IP地址是哪里，然后才能进一步发出访问请求。由于国内没有根本级别的域名服务器，所以会一级一级的查询到海外来。而在大陆ISP的骨干网络节点的监视系统就会捕捉到这样的请求，然后返回一个假的IP地址（一般是随机的从下面3个地址中挑一个:88.88.88.88,65.80.152.100,64.33.88.161)。由于假的IP地址返回速度一般都比真实的IP快，那么浏览器等网络工具就会先认识假的IP地址，从而无法访问真实的网站。一般的用户是根本识别不了这样的技术差别，□是知道无法访问那个网站，却根本不知道这是由于网络过滤造成的。

这样的技术，在大陆的全国范围内应用，确实算得上是世界第一的封网技术（大陆的网民大概也算是世界第一悲哀的）。当然它也有弱点，新版的一些破网软件都有能力突破这样的封锁。一个弱点是，它不是很稳定，在某些网络速度快的地方，真实的IP地址返回的比假的地址要快，这个是由于前面说到的，监测这么巨大的数据流量也是要花费一定时间的。大家可能还记得，在2002年中，有一段时间香港新浪网的地址被指向法轮功的明慧网，大家都觉得奇怪，沸沸扬扬的各种说法也很多。其实当时就是在测试应用这套过滤系统，而系统中有不完善的地方造成的。因为主要的目标就是封锁住法轮功的信息，所以这套系统开始时返回的假IP地址都是那个明慧网的IP地址，后来才改为从3个IP地址随机返回一个。

对于具体域名的过滤，中共还是采用了宁可错杀三千，也不放过一个的策略，对海外的一些著名域名服务商提供的域名服务，都进行了域名劫持。比如比较有名的免费域名服务www.no-ip.com，为全世界各地的网民提供了很好的免费域名服务。而中共为了封锁某些网站，就把所有的no-ip.com,no-ip.org,myftp.org等等的域名关键字都加入了劫持的列表，这样所有的大陆网民都无法访问用这样域名的网站了。

同时，为了对付各种突破封锁的软件，中共也开始不断地封锁海外的DNS服务器。动态网的一位朋友曾经告诉笔者，中共为了封锁破网软件的DNS查询，已经封锁了200多个北美的DNS服务器，其中包括很多大学的服务器。

这样的封锁，依然是有方法可以突破的。一个是利用海外的一些在线IP地址查询服务，可以查找到网站的真实IP地址。比如http://216.92.207.177/tools1.htm，就可以查询网站的真实IP。在Google上搜索一下，会找到更多类似的服务。另一个方法就是使用目前的突破网络封锁的工具，他们都具备查询真实IP的功能。不过这样的方法，□能够访问那些可以直接用IP访问的站点，对于几个网站共用一个IP的就没法访问了。那么一个更好的方法，就是利用突破封锁软件提供的代理功能，这样就可以直接访问各种各样的海外网站了。

下一次会介绍现有的突破封锁的软件，他们可是能够突破世界第一的网络封锁哦。具体详细的内容，下次再谈吧。有什么意见、建议，欢迎到动态网的论坛上去交流哦。http://www.dongtaiwang.com（大陆需要用该网站上的最新域名来访问）。

大纪元首发

中共网络封锁技术漫谈之二
http://beijingspring.com/c7/xwzh/wlfs/20031126202126.htm
中共网络封锁技术漫谈之一
http://beijingspring.com/c7/xwzh/wlfs/20031117171433.htm