揭開中國防火長城背後玄機:DNS hijacking 技術(上篇)
中國擁有防火長城對於內地的香港企業的確帶來不便,例如不能使用 Google Apps 的企業電郵服務、不能瀏覽香港的網站例如蘋果日報、香港雅虎等等,這一切皆因為內地有內地的監管制度,所以作為人民根本無得選擇。
其實一直以來,筆者身邊很多朋友均向筆者了解內地的防火長城背後原理,究竟中國政府是如何監控數量巨大的互聯網?而當中的技術又是如何?以下將會為大家簡單介紹一下。
防火長城的原理
眾所週知,在內地假如需要連到 Facebook、蘋果日報等網站時,往往都會無法連接,原因是這些網站過於尊重言論自由,所以中國政府為免此等不良風氣傳至內地,於是便實行將之一一封殺,而根據知情人士指出,內地之所以能有效長久封鎖這些網站,主要是使用上 DNS hijacking 技術,而此技術的原理在於更改 DNS 的 IP 令瀏覽者連到被封鎖的網站時,自動轉向由政府預先設定好的 IP 位置,透過於 ISP 層面作此設定,便有效將全國的網站作「最佳管理」。
甚麼是 DNS?
DNS 簡單來說就是將電腦不明白的英文(網址)按照指定 IP(電腦明白的數字)於網絡上作連接工作,最後於網絡上找到主機並順利將網頁的內容顯示出來,所以 DNS 一旦設定錯誤的話,便將會導致網站無法找到。
甚麼是 DNS hijacking?
網站被政府列入黑名單後(亦即是被加入到 DNS hijacking 的目標時),當用戶瀏覽有關的網站便有可能出現由政府提供的一些訊息,例如是警告訊息;而假如政府想否認封鎖網站的話,亦可能會直接出現網站無法連接的頁面。
DNS hijacking 原理
DNS hijacking 的原理十分簡單,當 DNS hijacking 開始運作時,一群電腦便會監視用戶及 DNS 伺服器之間的通訊,當用戶連到被封鎖的網站時,即以虛假的 IP 代替真實的 IP,從而令用戶無法連到相關網站。
太複雜嗎?簡單舉個例子。「一群匪徒希望洗劫整棟大廈,由於希望令保安人員無法取得支援,因此他們打算先劫持了整個支援部門的求助電話,以便令保安人員無法求救;當保安人員致電這個唯一的求助電話時,接聽的已非原來的支援人員,而是真正的匪徒;而此時匪徒為了令他們相信接聽的是支援人員,便向他們稱正準備出發提供協助。」
上述例子,於大樓內的保安人員便是中國內地的網民,早已劫持了支援部門的那一群匪徒便是強國政府;當網站經過被劫持的 DNS 時,所傳回的自然是政府的頁面又或者是一個無法連接的 IP,就是這樣便可輕易的將全國的網站作「最佳管理」。
下回待續….
