为啥我用不了?别人都可以?浅谈DNS劫持,以及你为什么用不了某些服务。

估计我这篇文章发布后,也会被“过滤”,呵呵。
不过,既然选择写这篇文章,那就让我们来聊聊这个让人既无奈又好奇的话题——网络访问的“限制”。

引言

你是否有过这样的经历:当你试图访问某个网络资源时,却发现它突然变得“无法访问”了。而同一时间,其他人却可以毫无障碍地访问。这是怎么回事?其实,这很可能是因为你的访问请求被某个“隐形”的屏障阻挡了。这个屏障,就是我们常说的“网络过滤系统”,他的做法就是DNS污染

什么是DNS污染?

DNS污染,简单来说,就是一种技术手段,使得你查询的域名信息被错误地返回了。打个比方,你想要去一个地址,但是有人给你指了一条错误的路,你自然就找不到目的地了。

什么是G-F-@W

G-F-@W,即Great Firewall,是用来控制互联网内容的过滤系统。它通过分析域名和IP地址来决定哪些网站可以访问,哪些不可以。它的工作原理很复杂,但本质上,它是在你的请求到达目标网站之前,就把它拦截了。

在当今数字化时代,互联网的安全性至关重要,DNS(域名系统)作为互联网的基础设施之一,其安全性更是不容忽视。DNS负责将用户友好的域名转换为计算机可以理解的IP地址,这一过程中涉及到的技术包括DoH(DNS over HTTPS)、QUIC DNS、以及传统的53端口DNS等。这些技术在提供服务的同时,也面临着诸如劫持和屏蔽等安全威胁。

运营商dns劫持

运营商DNS劫持是指在运营商的DNS设备上篡改域名或IP地址的正确映射关系,使域名解析到错误的IP地址上。

在ping检测里面输入域名,如果显示127.0.0.1或者0.0.0.0的即为被运营商劫持了。(其实也不一定,我的网站被劫持到反诈中心,那么出来的ip就是反诈中心的ip)

我的网站更牛逼,你试试用手机流量打开http://blog.mxdyeah.top/

最新消息,经过我申诉,我的域名已解封

100%提示我这是个诈骗网站,这也为什么是我把域名从blog换到blogs的原因。

传统DNS与DoH、Quic对比

1. 传统DNS的工作机制

DNS系统是互联网的基础服务,它通过将域名解析为IP地址,使得用户能够访问互联网上的资源。DNS使用的标准端口是53,它支持TCP和UDP两种协议。DNS查询过程通常从本地DNS服务器开始,如果本地服务器无法解析请求,则会逐级向上查询,直至根DNS服务器。这一过程中,DNS使用UDP协议进行快速查询,如果查询内容较大,则会使用TCP协议保证数据传输的可靠性。

2. DoH(DNS over HTTPS)

DoH是一种通过HTTPS协议加密DNS查询的技术。它允许客户端将DNS查询发送到支持DoH的服务器,这些查询通过HTTPS协议进行加密,从而提高了用户隐私和安全性。DoH使用443端口,与HTTPS流量共享端口,这使得DoH流量难以被区分和拦截,有效防止了DNS劫持和监听。

3. QUIC DNS

QUIC是一种基于UDP的传输层网络协议,它旨在提供比TCP更快的连接建立时间和更低的延迟。QUIC DNS是指将DNS查询通过QUIC协议进行传输,利用QUIC的快速连接和加密特性,提高DNS查询的安全性和效率。QUIC DNS的工作原理是在用户态实现,集成了TCP的可靠传输特性和TLS 1.3协议,保证了数据传输的安全性。

4. DNS的安全威胁

DNS系统面临的主要安全威胁包括劫持和屏蔽。比如你看不了我的直播源就是因为运营商把我的服务器屏蔽了。
DNS劫持是指攻击者通过篡改DNS记录,将用户重定向到恶意网站,这不仅影响用户体验,还可能导致用户信息泄露。DNS屏蔽则是指某些组织或个人故意阻止对特定域名的访问,这通常涉及到不能说的玩意儿

5. 防御措施

为了应对DNS劫持和屏蔽,可以采取多种防御措施。例如,使用DoH或DoT(DNS over TLS)等加密DNS查询技术,可以防止DNS查询被监听和篡改。此外,还可以通过配置DNS防火墙、实施DNSSEC(DNS安全扩展)、以及使用高防DNS服务等手段来增强DNS系统的安全性。

如何更换DNS解析服务

更换DNS解析服务可以通过以下步骤完成:

  1. 在路由器上更改DNS设置 - 进入路由器的设置界面,找到DNS设置选项,并将其更改为你想要的DNS解析服务。

  2. 在Windows中更改DNS设置 - 打开“控制面板”,找到“网络和共享中心”,点击“更改适配器设置”,选择你的网络连接,点击“属性”,找到“Internet协议版本4”或“Internet协议版本6”,点击“属性”,在“首选DNS服务器”和“备用DNS服务器”处输入你想要的DNS解析服务。

通过以上步骤,你可以尝试绕过DNS劫持的限制,访问那些你想要访问的网站。

但是,需要注意的是,这些方法并不能保证100%有效,因为防火墙屏蔽网站的策略也在不断变化。

常用DNS服务器列表

114 DNS

114 DNS应该算国内最知名的公共DNS,自2010年开始提供服务。114 DNS 纯净、无劫持的解析域名,让用户无需忍受被跳转去看广告或粗俗网站的痛苦。

纯净版服务器地址:114.114.114.114 和 114.114.115.115

安全版,拦截钓鱼病毒木马网站,服务器地址: 114.114.114.119 和 114.114.115.119

家庭版,拦截色情网站,服务器地址: 114.114.114.110 和 114.114.115.110

阿里 DNS

阿里DNS提供快速、智能的DNS解析服务,2014年正式上线。

服务器地址:223.5.5.5 和 223.6.6.6
IPv6: 2400:3200::1
IPV6: 2400:3200:baba::1
DoH:https://223.5.5.5/dns-query
DoH:https://223.6.6.6/dns-query
DoH:https://dns.alidns.com/dns-query
DoT:dns.alidns.com
DoT:223.5.5.5
DoT:223.6.6.6

DNSPod Public DNS+

Public DNS+ 是属于腾讯云旗下的公DNS服务,是国内首家支持谷歌 ECS (edns-client-subnet) 协议的公共 DNS 解析服务。

服务器地址: 119.29.29.29
IPV6:  2402:4e00::
DoH:https://doh.pub/dns-query
DoH:https://1.12.12.12/dns-query
DoH:https://120.53.53.53/dns-query
DoH:https://sm2.doh.pub/dns-query (国密)
DoT:dot.pub
DoT:1.12.12.12
DoT:120.53.53.53

360 DNS派

DNS派 是360旗下的公共DNS服务,特点是:让网上冲浪更加稳定、快速、安全; 为家庭拦截钓鱼网站,过滤非法网站(不推荐,比如我的网站就是属于非法网站哈哈哈),建立一个绿色健康的网上环境; 为域名拼写自动纠错, 让上网更方便。

首选(电信/移动/铁通):101.226.4.6
备选(电信/移动/铁通):218.30.118.6
首选(联通):123.125.81.6
备选(联通):140.207.198.6

CNNIC sDNS

sDNS是由中国互联网络信息中心(CNNIC)与国内外电信运营商合作推出的免费公共云解析服务,提供安全、智能、告诉的域名解析。

也不推荐,风控严重

服务器地址: 1.2.4.8 和 210.2.4.8
版权声明:本文由mxd's Blog发布,如需转载请注明出处。
如果文章中有风险行为,文章作者不负任何责任。
除非另有说明,否则本站内容依据CC BY-SA 4.0许可证进行授权,转载请附上出处链接。

本文链接:https://blog.mxdyeah.top/mxdyeah_blog_post/dns_hijacking.html
本文标题:为啥我用不了?别人都可以?浅谈DNS劫持,以及你为什么用不了某些服务。
暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇