揭開中國防火長城背後玄機:DNS hijacking 技術(下篇)
上回提到有關防火長城的種種原理,可能你仍未想像到內地的防火長城是多麼厲害,就讓我舉個簡單例子吧。
測試防火長城
假如大家能存取內地的網絡時,再通過如 Linux 的 console 並輸入以下指令的話,即可進行簡單測試。首先我們以 Facebook 作測試例子。(大家都知道 Facebook 是被內地封鎖的,所以我們便以此作為測試的網站)
<Linux 指令>
host -t A facebook.com.abcds 8.8.8.1
先作解釋,首先我們輸入了一個不存在的網址,亦即是說 facebook.com.abcds 8.8.8.1,而此時你會發現出現正常結果,亦即是說由於網址是虛假的,所以傳回了 time out 訊息。
不過當我們將 facebook.com 轉為一些被內地封鎖並列為終極黑名單的網站時,例如是大紀元日報,即使你輸入了不存在的網址,其回應卻竟可找到網址的 IP,這說明了在整個過程之中,DNS hijacking 技術被啟用,並傳回一個虛假的 IP,事關一個根本不存在的網址又怎可能傳回一個 IP 給你呢?
<Linux 指令>
host -t A epochtimes.com.abcds 8.8.8.1
又假如轉回 facebook.com 的例子。以一個真確的 domain 取代虛假的 facebook.com.abcds 的話,但同時亦以一個虛假的 DNS server 位置作測試,情況又會怎樣呢?
<Linux 指令>
host -t A facebook.com 8.8.8.1
結果竟傳回了一組虛假的 IP,而且每次輸入相同指令,亦會輪流出現十組 IP,不過根據測試,其假 IP 的數量只有不多於十組,以下是常見來自於 DNS hijacking 後所傳回的虛假 IP。
8.7.198.45
46.82.174.68
78.16.49.15
59.24.3.173
根據上述的測試顯示,此封鎖系統的手法會針對 Domain 進行封鎖,而在大紀元的例子之中,更不論網址是否真確,均一一將其子域名等封鎖,亦即是說只要網址之中曾出現過一些被列入黑名單的字句時,便很大機會會觸發到 DNS hijacking 的主機;的確,這種做法能做到「有殺錯,無放過」之效,但假如系統被黑客攻擊又或者設定時出現錯誤,便將會導致大規模的斷線情況,就好像早前的全中國大斷線事件便很大機會是因為這個原因而做成。
DNS hijacking 主機的位置
這絕對是一個永遠的問號,但可以肯定的是這些主機被安裝在一些與 international gateway 十分接近的位置,例如是一些主要的 ISP 機房之內;不過由於各家 ISP 均不回應有關問題,而且政府亦否認了防火長城的存在,所以請恕筆者未能解答到這問題﹐但只可以說這些 DNS hijacking 主機應安裝在一些與 international gateway 十分接近的位置而已。
其實互聯網的出現,是希望全球網民能互相分享最真實的資訊,因此我們很希望有一天能看見全世界政府均減少對互聯網的控制/監控,令網民能更自由地瀏覽這個世界上的一切資訊。
