前言
最近我朋友向我抱怨,iWin 此舉竟然開始影響到他的生活,讓他覺得很幹。我個人也是這麼覺得的,既然剛好有這個案例,何不來深入研究呢,前幾日本該發文的,不過身體不舒服就懶得發文了,一直沒什麼時間,現在忙太多專案,沒什麼空。
釐清
首先呢,avhu.com 這組網域被封鎖了,依照朋友提供給我的圖片是這樣。
第一直覺應該不是擋 IP 而是擋解析,先嘗試用了一下 VPN 發現完全正常,解除了 VPN 後,發現還是能正常訪問,讓我懷疑了一下是否真有封鎖?
原來,只是因為我自己本身的網路就不是走中華的 DNS ,最終確定,應該是 DNS 汙染無誤。
DNS 汙染
何謂 DNS 污染呢,上網搜尋應該會有一大堆文章,這邊也不細說太多,基本上對岸的防火長城有一部分阻擋的方法就是 DNS 汙染。
各位在瀏覽網頁時,都會需要將網域名稱(例如weils.net)轉換成 IP (例如123.123.123.123),然後再發送封包到目的地IP。
而 DNS 服務就是為了讓人查詢正確的 IP 是多少,使用者會去詢問這個網域他的 IP 是多少呢?DNS 伺服器才會返回正確的 IP 給使用者,這樣使用者才可以連線。
那 DNS 汙染又是什麼?只要在 DNS 伺服器投毒,讓上游的伺服器給出錯誤的 IP 地址,那你就沒辦法連線到正確的網站,會被導向到他所給予的錯誤 IP 地址,以至於無法訪問你要去的網站。
基本上 iWin 的所作所為就是 DNS 汙染,只感染國內的 ISP 業者提供的 DNS,例如中華電信的 DNS 被汙染了。
以上圖為例,如果將 DNS 伺服器設定為 中華電信 DNS。
我查詢了 weils.net 返回的結果,完全是正常的 IP 位置,也就是他是正確的 IP 地址。
而一旦查詢 avhu.com 則返回錯誤的地址(被汙染的結果)。
反之,如果我將 DNS 伺服器設定為 Google DNS,進行查詢。
結果會截然相反,avhu.com 返回的 IP 會是他原本正確的 IP。
而 IP 150.242.101.120 直接訪問的話會到下圖這個網站。
由此可知,目前的阻擋方法是屬於落後的 DNS 汙染,並沒有解析封包,攔截 SNI Host,如果這麼做的話,成本也有點太大。
解決方法
只要了解原理,基本上這種低能方法,只要改個 DNS 就可以繞過了,比如換成 Google DNS,或是其他國外的 DNS,任何一個能夠查詢到權威紀錄的 DNS 就可以了。
直接去「控制台」,找到網路和共用中心,點乙太網路,然後再點「內容」,設定IPv4,把 DNS 修改為 8.8.8.8 及 8.8.4.4 (Google DNS) 即可繞過封鎖。
就這麼簡單,沒什麼難度。