国内防火墙采用DNS污染去屏蔽网址, 如何应对

http://bbs.webplus.com/forum.php?mod=viewthread&tid=11677

唐：国内防火墙采用【DNS污染】去屏蔽目标网址，暂时最好最便利的爬墙的方法是用下面SourceForge.net的链接，免费下载配置hosts文件配置工具。hosts文件~=本机的DNS服务器。>>@ZOL崔洪波:在你的本地host中加上google的host就可以上谷歌的服务了，包括搜索，google+,youtube。[呵呵]不谢>>@pq是雷蜜:装个vpn呗，他们现在可赚大发了
2 `/ t0 D0 v" i- u9 L
4 ], A3 S: r4 V! w关于【DNS污染】的黑客技术在以下文章有提及 ==>> 域名服务器缓存污染 DNS cache pollution，又称域名服务器缓存投毒 DNS cache poisoning。
' }$ E) j0 q  }- P+ {- c对于不太懂技术的朋友，我可以这样解释【DNS污染】，这就等于你想你电脑去找纽约时报的网站（你要看海外网站），但我党宣传部告诉你电脑说：我叫你去国内的一个网站看吧（忽悠给你一个国内的IP地址），当然在国内是找不到纽约时报的网站的，几秒钟后你的游览器报错=IP地址找不到纽约时报的网站，甚至国内的DNS可能会引导你去一个有木马的网站让你下载病毒进去你的电脑。
! G: }/ X' p: H  W( ^; O/ L, a5 c
4 i3 ]6 A+ @. Z7 }" [1 B/ t1 w比较当今翻墙技术的优点和问题：
: D( E; N! }5 X) Q+ A$ L2 o
（1）暂时最好最便利的爬墙的方法是用下面SourceForge.net的链接，免费下载配置hosts文件配置工具，在你的电脑上装上自己的 C:\WINDOWS\system32\drivers\etc\hosts 文件 ~= 自己电脑的DNS域名服务器。如果你想看纽约时报，你自己电脑里的hosts文件就会告诉你的游览器Browser说：就直接去这纽约时报海外的IP地址吧，不用听国内的DNS忽悠去一个国内、失效或有病毒的网址的IP地址啦！
: Y" K+ Y- O4 Qhosts 文件要经常更新，否则当网站更改IP地址后就看不见了。
我现在的C:\WINDOWS\system32\drivers\etc\hosts 文件里有上万行的DNS= 域名 -> IP地址的解析。但伟大的防火墙很容易就可以讲这些上万个或上百万个IP地址都屏蔽掉，这样的防火墙技术不难。最后如果大部分墙外的IP地址被封，那么中国与伊朗也很接近了。
# j0 A8 N" k! D: J- i
! z; z' ^4 ]* f/ D, `5 e) {（2） 即使用了这hosts文件， 可以上Google网站搜索，但其搜索结果的域名可能也被 DNS污染，导致点击搜索结果报错。连我自己的很多域名都上不去！解决办法是在 hosts 文件里加上自己在墙内还看不见的域名解析。
6 T+ Q5 u% V5 ]我还没有时间尝试，但这解决方案应该更可行： 用自己PC本机的Putty建立的SSH Tunnel去海外的服务器，将DNS的端口Forward去海外服务器的DNS、去Google DNS:8.8.8.8，8.8.4.4，或去Open DNS:208.67.222.222，208.67.220.220。否则，就要在本机上安装一个自己的DNS服务器，直接由海外的DNS获取IP地址的解析。

- I* V5 m$ q5 M( }（3）在国内买一个已经可VPN翻墙的WIFI 路由器。这样所以上自己WIFI网的设备都可以翻墙。当然也可以购买或订阅其他VPN翻墙软件，但作为草根+懂技术的我，我还是坚持用免费的开源软件。之所以有了开源，我们作为开发者或创业者才可以大量避免安装软件内没有美国安全局或中国的相关组织的秘密木马。
VPN一般采用不同的协议：L2TP: 在国内是最快的协议；如果L2TP不行，可以用PPTP，但这比较慢和没那么安全；另外，SSTP可以用现有的HTTPS加密协议(Port 443端口)，可以在现在国内的NAT路由器、防火墙和网络代理，因为443端口=SSL一般是不会被屏蔽的。

（4）包括PPTP等VPN技术都很容易被屏蔽（将所以PPTP的端口屏蔽掉），如果用 hosts 文件我还看不见的网站，我会用Chrome 使用 Putty去我海外Linux服务器的SSH tunnels 作为Proxy。但这方式很慢，另一个可爬墙的游览器Tor也是很慢，建议只用于在hosts方案后还看不见的网站后才采用。

（5） 最好最安全的技术就是OpenVPN，它可以用任何端口加密爬墙，虽然我自己的技术很厉害，但这要在服务器上配置很多很多东西，我自己暂时还没时间搞。OpenVPN 最近被伟大的防火墙用spoofed RST packets屏蔽 ，很多VPN提供商可以将VPN的流量假装为SSL的流量爬墙。http://www.giganews.com/vyprvpn/compare-vpn-protocols.html

5 b6 G  ~( m1 l; I8 a" o以上方法要有效，都基于一个前提，那是你的电脑未染有任何支持中国政府黑客所写的木马，或没有装中国公司推出的防毒软件。如果你的电脑有病毒或木马，或你用了中国公司推出的防毒软件，那你无论怎努力，都避免不了DNS污染的问题。因此，不要乱装有问题的软件，乱开来历不明的电邮附件，以及使用中国公司推出的防毒软件，亦是相当重要的。
==========================================
1 p) U2 a  A2 ]) [
我不支持占中，但也不支持因自信心不足而要屏蔽Instagram等APP和网站！国可不上fb，但上不了Google是创业和投资的第一大悲剧！你需要的都可以Google出来。>>@秋天de树林:国内无法上谷歌是中国人的悲哀！连产品资料都无法查,闭关锁国有什么好？为啥国外不屏蔽百度？国外有没有类似阿里的网站可买工业产品?

0 F! B" R: K4 q$ A  y: p  D6 r唐：无论调试软件或搜索最新投融资新闻，都要花大量精力翻墙，巨浪费时间！而且网速和体验不好！如果用翻墙的精力去创新，或用墙外信息促进创新，可带来国民多少额外知识和财富啊？周一深圳创业论道。//@白兰地不好喝:最BBC的的Iplayer应用也被屏蔽了，是广大英语学习者以及爱好者的损失。不知以后会不会放开
  v& o4 W! R6 T4 w5 F, J/ W& d7 l
只有赞成、没反对的声音=危机！//@DesperadoNeo:有话题叫你碰见习大大想和他说什么，谁碰见他帮我问他对焚书坑儒有什么看法>>@KeepJoking:确实不自信,这么优越的制度,响亮的主旋律，这么多政治课，怕虾米>>@管爱国:这个理由或许不那么充分，但作为一位多年连续创业者,必须赞一个，信息是领先的重要条件
. A- ^. a* }9 O/ J" N9 L! L
$ |  L. E/ _7 x# N知识就是力量！80年代我帮父母做进出口生意，香港家内有Telex机可发电报，好方便，不需像国内要去电报局排队。而现在，国内每家每户都有电脑=Telex+FAX的1万倍功能，进出口商都灭亡了，被互联网#创意摧毁#了！//@忐忑的北极熊:咱大天朝的伟大GFW硬是把我们都锻炼成网络高手，还顺便养活了很多VPN服务商。>>@hyongbai:hosts经常被更改>>@数盟社区
0 r2 P' L7 i0 G* m
; V2 D2 n% m% ~3 h1 u+ d创业论道-成功的创业者必备的素质有哪些？
【活动时间】10月20日星期一下午 14:00 - 17:00
/ i; V+ e7 k4 l8 g6 I, f' F【活动内容】 著名天使投资人唐滔、深圳微纳研究院院长张国新、远程卫士创始人黄清华与您一起分享创业的乐趣和痛苦！
3 E2 f3 Z# J: ~& v+ n( N【承办方】    深圳市万物联有限公司、深圳微纳研究院、华友天使汇
; y0 x+ M( g. A  a7 r& J) S& P0 Y【活动地址】 深圳微纳研究院：深圳南山区学苑大道1001号南山智园C3栋22层。南方科技大学附近，长岭陂地铁站出往西1000米。

8 G# L6 X( L* V0 X5 {+ M2 \报名详情：http://bbs.webplus.com/forum.php?mod=viewthread&tid=11396

% n5 p0 m$ {( B& J==========================================
) B- h- \5 q5 p3 h/ q* U暂时最好最便利的爬墙的方法是用下面SourceForge.net的链接，免费下载配置hosts文件配置工具，在你的电脑上装上自己的C:\WINDOWS\system32\drivers\etc\hosts文件 ~= 自己电脑的DNS域名服务器。

http://sourceforge.net/projects/huhamhirehosts/files/HostsTool-v1.9.8-beta.4/
3 T" h1 |) _5 I2 m* W. @" \1 sSince the governments of some countries are using the blocking the internet access to several websites and web service providers which includes some world famous sites like Google, YouTube, twitter, Facebook, and Wikipedia etc., we designed this tiny utility in order to help people getting through the Internet blockade.
" ~6 ?+ H5 _. CHosts Setup Utility provides basic tools to manage the hosts file on current operating systems. It also provides both support for Graphical Desktop environment with Graphical User Interface (GUI) and CLI environment with Text-based User Interface (TUI).
9 O$ v1 H: l  q/ B' XUsers could use these tool to modify the hosts to visit specified websites or services blocked by ISP/government. Functions which help users to backup/restore hosts files are also provided.
For more detailed information, please visit the website of this project.  HostsTool = hosts 文件配置工具
" n* {; R1 z# C2 Y4 q
( n7 w, J# z# z9 @https://hosts.huhamhire.com/  <<== HostsTool = hosts 文件配置工具
( m% F2 c# @: _6 ~( T: Q简单爬墙
Google 的服务又中断了，想上 Facebook 看看国外朋友的状态却不会爬墙。如身处中国大陆的您遇到了的此类问题，欢迎尝试使用 hosts 文件解决。无需花费1分钱，无需复杂的配置，只需修改本地文件即可轻松爬墙。huhamhire-hosts 助您科学上网。
$ `7 c- w/ N. Y  j% Z4 ?- {功能支持
. s1 u; @- K9 g6 U优化访问 Google 服务, 访问 Facebook, 访问 twitter, 优化 IPv6 站点访问, 加速各类被封堵服务, 屏蔽各类激活服务器, 屏蔽恶意网站及广告
3 w% ?9 O. J" @. o# @$ i" ?2 ]操作系统支持
0 f# X  P& Y0 O$ }Windows XP/Vista/7/8, Windows Server 2003/2008/2008 R2/2012, Mac OS X 10.6及以上版本
Debian, Ubuntu, CentOS, Fedora, FreeBSD, PC-BSD

http://zh.wikipedia.org/wiki/%E5%9F%9F%E5%90%8D%E6%9C%8D%E5%8A%A1%E5%99%A8%E7%BC%93%E5%AD%98%E6%B1%A1%E6%9F%93
域名服务器缓存污染（DNS cache pollution），又称域名服务器缓存投毒（DNS cache poisoning）
是指一些刻意制造或无意中制造出来的域名服务器封包，把域名指往不正确的IP地址。一般来说，在互联网上都有可信赖的域名服务器，但为减低网络上的流量压力，一般的域名服务器都会把从上游的域名服务器获得的解析记录暂存起来，待下次有其他机器要求解析域名时，可以立即提供服务。一旦有关网域的局域域名服务器的缓存受到污染，就会把网域内的电脑导引往错误的服务器或服务器的网址。
域名服务器缓存污染可能是因为域名服务器软件的设计错误而产生，但亦可能由别有用心者透过研究开放架构的域名服务器系统来利用当中的漏洞。
7 G' D/ C& _' d* @2 b为防止局域的域名服务器缓存污染除了要定时更新服务器的软件以外，可能还需要人手变更某些设定，以控制服务器对可疑的域名封包作出筛选。
. _" N  D7 Y2 B/ i, c
: N  `* ?3 Y% u: }缓存污染攻击
一般来说，一部连上了互联网的电脑都会使用互联网服务供应商提供的域名服务器。这个服务器一般只会服务供应商的客户，通常都会将部分客户曾经请求过的域名暂存起来，这种服务器被称为非权威服务器，其应答称非权威应答。缓存污染攻击就是针对这一种服务器，以影响服务器的用户或下游服务。
9 d7 e7 K2 l/ |  W2 l
中国防火长城
6 n3 q- V/ r; Q2 _' }" f2 K在中国大陆，对所有经过防火长城的在UDP的53端口上的域名查询进行IDS入侵检测，一经发现与黑名单关键词相匹配的域名查询请求，会马上伪装成目标域名的解析服务器返回虚假的查询结果。由于通常的域名查询没有任何认证机制，而且域名查询通常基于无连接不可靠的UDP协议，查询者只能接受最先到达的格式正确结果，并丢弃之后的结果。

对于不了解相关知识的网民来说，由于系统默认使用的ISP提供的域名查询服务器查询国外的权威服务器时即被防火长城污染，进而使其缓存受到污染，因此默认情况下查询ISP的服务器就会获得虚假IP地址；而用户直接查询境外域名查询服务器（比如 Google Public DNS）时有可能会直接被防火长城污染，从而在没有任何防范机制的情况下仍然不能获得目标网站正确的IP地址。
因为TCP连接的机制可靠，防火长城理论上未对TCP协议下的域名查询进行污染，故现在能通过强制使用TCP协议查询真实的IP地址。而现实的情况是，防火长城对于真实的IP地址也可能会采取其它的手段进行封锁，或者对查询行为使用连接重置的方法进行拦截，故能否真正访问可能还需要其它翻墙的手段。
: W; F- N  P6 i: J% n; v( L虚假IP地址
& p4 T. c) Q9 m8 P: k5 V* E根据互联网上长期收集到的污染目标IP地址列表，防火长城会将黑名单内的域名重新导向至不限于以下列表的IP地址：
# g/ }! g3 F1 [& ~

• 4.36.66.178
• 8.7.198.45
• 37.61.54.158
• 46.82.174.68
• 59.24.3.173
• 64.33.88.161
• 64.33.99.47
• 64.66.163.251
• 65.104.202.252
• 65.160.219.113
• 66.45.252.237
• 72.14.205.99
• 72.14.205.104
• 78.16.49.15
• 93.46.8.89
• 128.121.126.139
• 159.106.121.75
• 169.132.13.103
• 192.67.198.6
• 202.106.1.2
• 202.181.7.85
• 203.98.7.65
• 203.161.230.171
• 207.12.88.98
• 208.56.31.43
• 209.36.73.33
• 209.145.54.50
• 209.220.30.174
• 211.94.66.147
• 213.169.251.35
• 216.221.188.182
• 216.234.179.13
• 243.185.187.39
  

一个比较特别的例子是Google+的域名 plus.google.com 被重新导向至Google自己的服务器 74.125.127.102、74.125.155.102、 74.125.39.113 还有 209.85.229.138 上以封锁ip地址的形式进行封锁。
/ A  p9 p, ~" M0 w  tIPv6隧道则会被重新导向至 1.1.1.1 和 255.255.255.255。
, Y4 M3 O) P) q9 Z
污染攻击大事记
6 I9 ~" ?. _* w* _2010年3月，当美国和智利的用户试图访问热门社交网站如facebook.com和youtube.com还有twitter.com等域名，他们的域名查询请求转交给中国控制的DNS根镜像服务器处理，由于这些网站在中国被封锁，结果用户收到了错误的DNS解析信息，这意味着防火长城的DNS域名污染域名劫持已影响国际互联网。
2010年4月8日，中国大陆一个小型ISP的错误路由数据，经过中国电信的二次传播，扩散到了整个国际互联网，波及到了AT&T、Level3、Deutsche Telekom、Qwest Communications和Telefónica等多个国家的大型ISP。
2012年11月9日下午3点半开始，防火长城对Google的泛域名 .google.com 进行了大面积的污染，所有以 .google.com 结尾的域名均遭到污染而解析错误不能正常访问，其中甚至包括不存在的域名，而Google为各国定制的域名也遭到不同程度的污染（因为Google通过使用CNAME记录来平衡访问的流量，CNAME记录大多亦为 .google.com 结尾），但Google拥有的其它域名如 .googleusercontent.com 等则不受影响。有网友推测这也许是自防火长城创建以来最大规模的污染事件，而Google被大面积阻碍连接则是因为中共正在召开的十八大。
) T: t- r& M0 |5 C2014年1月21日下午三点半，中国互联网顶级域名解析不正常，出错网站解析到的网址是65.49.2.178，这个IP位于美国北卡罗来纳州的Dynamic Internet Technology，即自由门的开发公司。
$ R. a  r4 a6 U
ISP域名劫持
中国的互联网服务提供商经常劫持部分域名, 转到自己指定的网站, 以提供自己的广告.
8 h; [* s# G, \
! q; X5 |- l* f1 K+ f9 P1 R
翻墙问答：面对DNS污染怎办？
$ N# @  ^9 i/ {! u" A& xhttp://www.rfa.org/cantonese/firewall_features/firewall-DNS-poisoning-06132014090242.html
, l$ k5 h; q( A6 E/ o: t2014-06-13
DC： 最近很多听众都受到中国当局的DNS污染困扰，令翻墙出问题，因而来信向本台求助。面对中国当局的连串DNS污染攻击，中国网民应该如何自处？

李： 中国政府搞DNS污染并非第一天的事，因此，其实早已经有不少工具去解决这个问题。现时面对DNS污染问题有两个解决方案，一个方案是使用DNS Forwarder的程式，在自己的电脑建立一个DNS代理主机，浏览器的域名查询经这个程式由UDP信息包，转化成不易污染的TCP信息包，再去查询谷歌或其他国际上可靠的DNS主机。这种方法好处是可以继续沿用其他翻墙方案，因为中国当局很难对TCP信息包上下其手。但由于这个方法涉及不少电脑指令，既不能用于手机或平板电脑上，亦对缺乏技术根底的用户有困难。因此，在这集就比较难介绍这种方法。
$ u) [$ I4 _4 ~. ]
0 N& b8 [" D2 {' z另一种方法，那是先洗去机内的DNS快取，然后再利用VPN，将所有通讯经VPN走，并且设定VPN公司提供DNS处理询名查询。在Android和iOS，系统会定期自动清理DNS快取，可以在熄机后再执行VPN，就可以解决DNS污染的问题。

至于Windows，可以在执行VPN前，在命令模式执行「ipconfig /flushdns」的指令，就会将系统内所有DNS快取消除，之后再执行VPN，那就会依照VPN的设定执行DNS。这个是现时翻墙民众，比较容易避免DNS污染的方法。

( ^1 w6 \2 U- T- b只不过，以上方法要有效，都基于一个前提，那是你的电脑未染有任何支持中国政府黑客所写的木马，或没有装中国公司推出的防毒软件。如果你的电脑有病毒或木马，或你用了中国公司推出的防毒软件，那你无论怎努力，都避免不了DNS污染的问题。因此，不要乱装有问题的软件，乱开来历不明的电邮附件，以及使用中国公司推出的防毒软件，亦是相当重要的。

1 E* N& G( t" M5 b! t* ?) K$ U7 bDC： 近日与OpenSSL有关的保安漏洞好像越来越多，OpenSSL最近又被揭发有多个保安漏洞，那这次保安漏洞，又会否像Heartbleed一样造成广泛的恶劣影响，危害网络安全？

. U/ _/ x/ Z: C! h+ C李： 虽然这次OpenSSL发现漏洞多，遍及的版本亦比Heartbleed那次多，但恶劣影响反而没上次严重，因为这次各方面都严阵以待，OpenSSL亦获赞助一笔经费，聘请全职程式编写人员和保安专家解决漏洞，只要将OpenSSL更新到最新版本，就应该问题不大。

2 D) t6 C8 i, [! E7 D要避免中国当局利用OpenSSL保安漏洞偷你的资料，尽快更新软件十分重要。而由于OpenSSL长期以来潜藏的漏洞，可能未能够在短时间内完全找出来，可能在短期内，仍然会有OpenSSL相关漏洞被发现，需要各方人马紧急维修。而现时市面流行的浏览器，包括Safari、Google Chrome、Firefox和IE，都采用软件公司自行设计的SSL程式设计，相信这点会令不少听众感到较为安全一些。
& s3 T* t- V$ Q( f( ^& J7 g0 f
由于OpenSSL的漏洞，会影响VPN的安全性，而很多VPN服务供应商都因使用Linux，而难免在提供VPN服务时，需要使用OpenSSL加以配合，因此有租用VPN服务的听众，应查询VPN服务供应商有关OpenSSL的影响，避免自己翻墙时受到OpenSSL漏洞影响，仍然懵然不知。
  _( ?$ {- K: p: W& F

( m% |% r+ M0 T! y4 O7 N
' w$ \5 N# ?3 i* Z+ s
$ {8 p/ |4 }* V

( i  M' V. f! B0 @& y8 e& ~http://chaokuaiweb.net/tags/dns-cache-poisoning
http://chaokuaiweb.net/what-really-happens-when-you-navigate-to-a-url.html满意沟通 on Mon, 2011-05-30 03:102012年4月24日:最近在解决很多相关问题的时候发现这篇文章真的很有内涵:作为一个软件开发者，你一定会对网络应用如何工作有一个完整的层次化的认知，同样这里也包括这些应用所用到的技术：像浏览器，HTTP，HTML，网络服务器，需求处理等等。
- F8 {. t: T! Q本文将更深入的研究当你输入一个网址的时候，后台到底发生了一件件什么样的事～
1. 首先嘛，你得在浏览器里输入要网址:
1 C6 J6 U# @1 O' e2 \2. 浏览器查找域名的IP地址
2 O& J9 B+ P" i8 }& d; i8 b导航的第一步是通过访问的域名找出其IP地址。DNS查找过程如下：
7 o1 b5 b6 ?% [. d- k4 t0 u' q8 T
8 Y! g, T. ~! D* |http://chaokuaiweb.net/what-is-dns-cache-pollution.html满意沟通 on Thu, 2011-05-12 23:40国外的网站打不开的原因最主要的就3个1,国.家不让你看2,单位不让你看3,网站不让你看本文主要讲第一种情况的
: f' f# t4 a4 [9 Q# z) A1 p正常情况是用国外的代理,就可以直接上了
) N3 t' Q* \8 V& X: A' S+ l. x' T不过国内有http://chaokuaiweb.net/tags/dns%E6%B1%A1%E6%9F%93(简单说就把一个正常的域名的DNS记录解析到一个不存在的ip上具体可以看:
http://chaokuaiweb.net/dns-cache-poisoning-in-china.html
用不存在的ip来访问 这样你当然就无法打开对应的域名.
怎么解决DNS污染这个的问题?以前的方法是不用国内的运营商默认的DNS,自己设置个国外的比如Google DNS或者香港的,具体可以参考:
: l9 {/ l0 j0 _% V  _
* \3 p0 d3 U: L' g7 o* M# X4 thttp://chaokuaiweb.net/proxifier-faq满意沟通 on Thu, 2012-12-20 04:24开网页的时候提示 验证已失败,请输入一下代理的用户名和密码可能原因1,代理ip填写错了
2,帐号填错或者过期了
解决方法联系服务商!
ip 端口和帐号都是对的 但是还是无法通过验证可能原因socks5代理ip的端口被防火墙封了,请检查防火墙设置
proxifier状态栏提示 错误: 连接请求完成之前被取消可能原因:代理的连接数超过限制了,可以看看proxifier的连接信息栏的连接数
有些连接不是打开后就马上关闭的,可以等连接信息栏的相关连接关闭后再开,
建议不要一次性开太多的网页
# a  K, a  Z  _$ D' W+ t开了proxifier后,普通网站可以访问,河蟹的网站还是是不去排除规则问题后,最可能的是http://chaokuaiweb.net/tags/dns-cache-poisoning问题,可以退出浏览器和proxifier后再清空DNS缓存 再打开proxifier和浏览器试试看
: r" J8 T+ K4 I. x
' I4 x) P+ d4 ]/ uhttp://chaokuaiweb.net/how-to-use-proxifier满意沟通 on Wed, 2012-11-28 04:421,下载软件最新http://www.fanqiangvpn.com/tags/proxifier v3.21 汉化版到汉化新世纪下载:http://www.hanzify.org/software/13717.html

& m" L" h5 u+ e! f0 thttp://chaokuaiweb.net/dns-cache-pollution-google满意沟通 on Fri, 2012-11-09 23:46从上周起Google的国内ip的时断时续的被咔嚓
203.208.46.*
203.208.47.*
导致不用过功夫王的Google也用不了
幸好我改hosts功夫已经亲车熟路了
不过基本一天要改一个ip
刚有新闻说Google的被http://chaokuaiweb.net/tags/dns%E6%B1%A1%E6%9F%93了
在17测查询http://www.google.com/的ip 确实来了:
http://17ce.com/site/dns/c4c90e5f9811c397d8e64e515862fa13.html
- g5 S8 Q% v' @# M$ k$ N0 D0 B开始看到59.24.3.173这个韩国的ip 延迟绿色还暗自高兴可以改hosts到韩国的ip

http://chaokuaiweb.net/free-youtube-downloader-flvcd-youtube满意沟通 on Fri, 2012-10-12 03:16flvcd_youtube使用方法简介要下载前请先连接VPN代理,软件直接运行无需安装(下载地址:http://download.flvcd.com/youtube/flvcd_youtube.rar)
1,"新建任务"---页面地址输入要下载的视频的地址---相关选项按需设置---最后点确定
& L, \* H  A& ?. Z& E2 K, D- s
3 }3 ^" h+ _, E- x& z" I  y
3 j: n( [" Y7 K1 ~8 X, Z
http://chaokuaiweb.net/node/207满意沟通 on Thu, 2012-08-16 02:49简要:
! p8 L: i: U! \& C一个用户测试的时候可以直接上facebook twitter
购买正式的后就上不了 我给hosts工具设置 360提示要改hosts
电脑和软件都没换就帐号换了 就上不去 二减一排除法 就是帐号的问题.....
他就以为我通过hosts弄木马给他...
  [! ]  N5 `7 T9 f2 m让他选择信360还是我 他选择360


http://www.howtogeek.com/161808/htg-explains-what-is-dns-cache-poisoning/
http://www.howtogeek.com/167418/5-ways-to-bypass-internet-censorship-and-filtering/
- p5 F% D" x( w. e5 V5 V! s+ ^http://blogs.wsj.com/digits/2014/01/21/chinas-sina-baidu-and-other-big-websites-are-hit-with-disruptions/
. L1 h7 L4 p* m" @http://www.greycoder.com/the-best-vpns-to-use-in-china/
http://www.greycoder.com/avoidthe-chinese-great-firewall/
http://scottiestech.info/2011/08/05/dude-your-web-sites-been-hacked/
' F0 Q) P7 Z0 ~" ^" Z
8 t; _4 j3 d( Z, o% }* o3 vDNS cache poisoning attack
/ V( k! b3 n, k' [
http://cyberforensicsindia.blogspot.hk/2008/07/dns-cache-poisoning-cache-poisoning.html
http://www.nrza.net/index.php/news/16-dns-cache-poisoning
" I, ]3 ^2 D1 m2 k1 f4 Z" xhttp://www.asd.gov.au/publications/csocprotect/dns_security.htm
* |' |7 E$ g% T* H& B& ?- `

- w: ^0 [4 C% b" H1 |: J
3 ?: C; J) Y, ^: g5 Q8 e) ~http://www.ipa.go.jp/security/english/vuln/200809_DNS_en.html

国内最近信息封锁加剧，用以下方式已不可翻墙Google了，伟大的防火墙GFW每天都更新，现在不但要常改hosts文档，而且要跑GoAgent才可翻墙。我只是程序猿，不牵涉政治，但也被逼花大量时间翻墙才可创新。国内我看自己笔记本里面的Ubuntu虚拟机的网站也慢，发现网站PHP用谷歌Fonts的URL也被屏蔽了，傻眼了
/ N6 u& |1 Z; W6 \3 J, C我自己可装VPN，我参与的公司也可装VPN，但我不可让所有客户或潜在客户都装VPN。我用国际最领先的开源代码PHP/Ajax/CSS/Python/JavaScripts/JSON/Fonts等，很多网页都是动态用代码由谷歌googleapis.com等Library组成的网页。我党要剿灭所有谷歌的服务！>>@爱吃京酱肉丝:整个vpn吧，跟他们耗不起时间呀
* J+ S7 `2 n. A/ r0 u3 A$ M9 g
9 t2 N: Q1 o. F7 X! x8 ~5 T& m

转载请保留当前帖子的链接：https://www.beimeilife.com/thread-45902-1-1.html 谢谢

http://www.jokinkuang.info/2017/01/16/baidu-cloud.html

GoDaddy使用DNSPod解析并添加百度云加速

2 t7 u+ o7 F$ I$ l8 Z; gGoDaddy域名使用DNSPod进行域名解析

下面以GithubPagejokinkuang.github.io绑定GoDaddy域名jokinkuang.info为例：

• 登录GoDaddy，把jokinkuang.info域名的DNS域名服务器修改为
  - L* t1 y2 K/ v+ m% O1 @/ pF1G1NS1.DNSPOD.NET
  . B. h/ q3 u9 ~6 u3 l& n2 @F1G1NS2.DNSPOD.NET
• 登录DNSPod，添加下面的CNAME记录。
  7 }( d' m: w% r0 mwww CNAME jokinkuang.github.io
  @ CNAME jokinkuang.github.io
  其中，www表示解析www.jokinkuang.info而@表示解析jokinkuang.info。
• 登录Github，把jokinkuang.github.io仓库的CNAME文件内容修改为www.jokinkuang.info（必须和域名相同，www可有可无）。
• 等待一段比较长的时间。
  

上面的流程图
( p$ ^- o- o9 P1 g+ s

如果ping一下www.jokinkuang.info

可以发现，域名直接解析到Github的CDN服务器地址。

通俗地说，访问域名www.jokinkuang.info相当于访问了IP151.101.100.133。

如果直接访问这个IP，会出现404。Github上托管了无数的网站，直接访问上面的IP，理所当然的，不可能出现jokinkuang.github.io首页，因为Github无法从单纯的IP访问中识别出你的意图。
Github服务器通过域名jokinkuang.github.io来识别用户需要访问的是jokinkuang用户的网站首页。

所以，域名解析的时候，只需要将个人域名解析（导航）到域名jokinkuang.github.io即能实现Github Pages自定义域名。

DNSPod使用百度云加速的CDN服务

DNSPod接入百度云加速，使用百度云加速的免费CDN服务。其实Github Pages也是放在CDN服务器上。接入了百度云加速网页的打开速度会有点提升。

下面也以jokinkuang.info使用DNSPod做域名解析，并接入百度云加速为例。

• 按照上面接入DNSPod作为域名解析。
• 登录http://su.baidu.com/，添加网站域名jokinkuang.info（没有www)，然后切换接入方式为CNAME接入。
• 添加下面的CNAME记录。
  ) F/ p: u. @0 c+ ~! t% G0 c@ CNAME jokinkuang.github.io
  % }3 j' y3 h7 m* L5 K# m9 Q+ Zwww CNAME jokinkuang.github.io
• 百度云加速会生成3条记录，其中TXT是唯一的，估计与域名绑定（打码）。
  # r, P. r8 x8 _0 Z9 D4 ijokinkuang.info.cname.yunjiasu-cdn.net
  & ?4 M% |" R* I# d. e5 swww.jokinkuang.info.cname.yunjiasu-cdn.net
  TXT 5624xxxxxxxxx 一串唯一的标识字符串
• 添加完，百度会提示需要将这3条记录添加到域名解析服务提供商那里。也即是在DNSPod里添加下面3条记录。
  @ TXT 5624xxxxxxxxx
  0 ?/ w! ^) E/ e. |* D  w@ CNAME jokinkuang.info.cname.yunjiasu-cdn.net
  www CNAME www.jokinkuang.info.cname.yunjiasu-cdn.net
  3 c, Q% k( M1 |9 {同样，@对应jokinkuang.info.xxx，www对应www.jokinkuang.info.xxx。
• 停用最上面的DNSPod到jokinkuang.github.io的记录，开启百度云加速的3条记录。也即是说，不使用DNSPod直接解析jokinkuang.info到jokinkuang.github.io，而是DNSPod将jokinkuang.info解析到百度云加速，由百度云加速再解析到jokinkuang.github.io。
  $ `9 e' Q5 S7 q- N, F

上面的步骤对应的图。
* m! I# A9 k' _6 W4 \

再ping一下www.jokinkuang.info
% W) @% {; j# j3 X, z0 X

域名解析直接解析到百度云加速的服务器。
3 `; G* e2 ~% \" e: z8 }

域名的构成

网络名. ... .三级域名.二级域名.顶级域名

www.qq.com
网络名：www
顶级域名：qq.com

www.mail.qq.com
5 t8 a  b) X7 Z+ J5 W: w* u* _网络名：www
二级域名：mail
顶级域名：qq.com

以此类推。

域名的解析@与www

假设域名是jokinkuang.info，那么：

@：直接解析主域名jokinkuang.info
www：直接解析域名www.jokinkuang.info

意思是，如果要指定解析jokinkuang.info的规则，则使用@，如果要指定解析www.jokinkuang.info的规则，则使用www。

如果将两者分别指向不同的主机，比如jokinkuang.info解析到百度云加速，www.jokinkuang.info解析到Github服务器。Ping一下，如下图。

如图，jokinkuang.info和www.jokinkuang.info可以分别导向不同的主机。两者的域名解析是独立的。

如果其中一个不设置规则，则那一个不能访问。如果要jokinkuang.info和www.jokinkuang.info都能访问同一个主页，则需要同时设置@和www为相同的规则！！

把自己的域名解析到别人的IP

出于调皮的心理，是否可以将自己的域名解析到别人的IP呢。是的，当然可以。

在DNSPod添加下面的记录，即能将自己的域名解析到百度的IP。
" H. u3 I% P4 I% P' A+ g4 E" _9 w* Lwww CNAME www.baidu.com

ping一下www.jokinkuang.info
( q; ?) _% X$ ]: @1 ]# w( T

直接在浏览器访问IP163.177.151.110，就能访问到百度首页。

但是，访问域名www.jokinkuang.info却不会跳转到百度首页，得到的是无法访问该网站。

域名确实解析到了百度的IP，然而访问的时候却无法打开网站，说明百度的服务器对非法的域名进行了拦截。

为了防止别人的域名解析到自己的主机，通常主机会进行域名或IP的过滤，一些Web系统，如nginx、apache等可以通过配置来进行拦截，这个拦截的过程，相当于服务器绑定域名，即服务器端绑定合法的域名，只有合法的域名才能访问当前主机。

所以有，域名绑定主机，主机绑定域名这种双向绑定的说法。

主机如果不绑定域名，可能被恶意使用，比如非法的色情网站把域名解析到你的主机

Github Pages CNAME的作用

曾经好奇，把域名jokinkuang.info解析到Github Pages的jokinkuang.github.io，为什么还需要创建CNAME文件，并必须填上对应的域名。

从上面的双向绑定就可知，CNAME的作用相当于是主机绑定域名，用来描述能访问该站点的合法域名。
有了这个绑定关系，自己的Github Pages站点就不会被别人的域名绑定。

如果在自己的Github Pages的CNAME里绑定别人的域名，会得到以下警告。

The CNAME www.cuicui.info is already taken. Check out https://help.github.com/articles/troubleshooting-custom-domains/#cname-already-taken for more information.

因为别人的域名没有绑定到自己的Github Pages，所以站点绑定了别人的域名也没有任何作用。

https://linux.cn/article-2645-1.html使用国外 DNS 造成国内网站访问慢的解决方法

你是否是一个使用国外 DNS 的中国网民？你是否发现使用国外 DNS 之后访问某些国内网站奇慢无比？这不是 DNS 慢，而是电信到联通的线路太慢。如果你愿意小小地折腾一下，那么跟随本文，你可以解决这一问题。

一、为什么要用国外 DNS

由于众所周知的问题，国内 DNS 服务器解析国外网站会遭到 DNS 污染和投毒，使之解析到完全虚构的 IP 上，造成「开了 VPN 也没法访问 Twitter 或 Facebook」等问题。以下是一个例子：

• wzyboy@vermilion:~$ dig twitter.com @8.8.8.8 +short
• 199.59.148.82
• 199.59.149.230
• 199.59.148.10
• wzyboy@vermilion:~$ dig twitter.com @221.228.255.1 +short
• 93.46.8.89
  

Twitter 正确的 IP 地址应该是 199.59.148.0/24 里的那几个，但是如果用 221.228.255.1 这台中国电信的 DNS 服务器查询，查到的就是不知道什么鬼地址了，地理信息是在意大利，乱七八糟的。正是因为这样的 DNS 解析不正确的情况出现，不少人转而使用了国外的 DNS 服务器，如老牌的 OpenDNS 以及这几年新崛起的好记又好用的 Google Pulic DNS 即 8.8.8.8 和 8.8.4.4。使用它们进行查询，再配合以 VPN 或者浏览器的远程 DNS 解析，便可避免 DNS 污染的情况出现，从而解析出正确的地址。

此外，拒绝使用电信的 DNS 服务器，还可以避免烦人的「114 上网导航」页面……

二、为什么使用国外 DNS 会「慢」

我是在「慢」上加了引号的，因为这其实不是国外 DNS 慢，而是你要访问的网站的 CDN 分配错误，慢。由于国内各大运营商之间的主干线路带宽太窄，所以导致「最远的距离是从电信到网联通」，电信用户访问联通的服务器非常慢，联通用户访问电信的服务器也非常慢，相信这都是大家有体验的。因此，国内不少网站都用了双线 CDN，在电信的机房里放点服务器，再在联通的机房里放点服务器。运用智能 DNS 技术，当你访问网站的时候，DNS 根据你的来源 IP 判断你是电信用户还是联通用户，然后再返回相应的 IP 地址，这样你会访问到就近的、同运营商的服务器，访问速度就大大提升了。而如果使用国外的 DNS 的话，你的查询来源来自国外，国内网站的 DNS 无法判断你是电信用户还是联通用户，就胡乱分配你一个服务器。比如我是一个江苏电信的用户，但当我访问淘宝网的时候，淘宝的 DNS 把我解析到青岛联通的服务器上，奇慢无比。所以：

很多人https://www.google.com/search?q=google+dns+%E6%85%A2 Google Public DNS, OpenDNS 等「慢」，主要不是查询慢，而是电信到联通之间太慢。

当然了，如果硬要比较查询的话，倒也是会慢很少一点的：

• ;; 使用 8.8.8.8 解析 www.google.com 耗时 79 毫秒
• ;; Query time: 79 msec
• ;; SERVER: 8.8.8.8#53(8.8.8.8)
• ;; WHEN: Thu Sep 6 17:20:37 2012
• ;; MSG SIZE rcvd: 143
• ;; 使用中国电信 221.228.255.1 服务器解析 www.google.com 耗时 6 毫秒
• ;; Query time: 6 msec
• ;; SERVER: 221.228.255.1#53(221.228.255.1)
• ;; WHEN: Thu Sep 6 17:20:44 2012
• ;; MSG SIZE rcvd: 284
  2 b: G' Z8 @/ u% f" v

别看 6 毫秒和 79 毫秒差别很大的样子，但是人类是很难感觉出来的，而且，这只是查询时间，与实际的访问速度无关，就算你一整天都在刷 www.google.com，也就每小时慢个几百毫秒的样子，根本感觉不出来。真正慢的原因，还是上文所说的「电信到联通」的问题。

三、问题的解决思路

现在问题明确了：使用国外 DNS 之后，查询来源变成国外的 IP，使用了 CDN 加速的国内网站的 DNS 会无法判断你的来源，胡乱给你分配一个地址，如果不是同一个运营商的，访问速度便会很慢。

那解决方案也就出现了：让国内网站的 DNS 服务器知晓你的来源，从而给你分配正确的服务器 IP。于是 Google 起草了一个专有协议，叫 EDNS，在 DNS 查询请求中包含源地址，这样淘宝就知道查询来源不是 Google 服务器，而是电信的某用户，就不会把你扔到联通服务器上了 。听起来很美好是吧？不过这个协议不开放，目前几乎没有人用，所以，问题丝毫没有解决。

新思路是：访问那些会因 CDN 加速解析错误而极其缓慢国内网站的时候，直接向国内的服务器发送请求，让 DNS 知晓你的来源，给你分配个正确的 IP。访问其他网站的时候，再通过国外的 DNS 查询。

听起来很简单的样子，实现起来也不难：用 dnsmasq 在本地搭个 DNS 缓存服务器，规定哪些域名用哪个服务器查就好了。

四、安装及配置 dnsmasq安装 dnsmasq

dnsmasq 是一个非常轻量的 DNS 缓存及 DHCP 服务器，在我的 Arch Linux 上只占用了 368 KiB 的磁盘空间，相比功能极其强大的 BIND9 来说小多了（BIND9 的安装体积是 6.23 MiB）。不光是体积小，它的功能也很专一，配置起来也是十分方便的，五分钟就可以搞定。

Ubuntu 12.04 及之后的版本应该http://www.stgraber.org/2012/02/24/dns-in-ubuntu-12-04/了 dnsmasq。如果没有，可以使用 sudo apt-get install dnsmasq 安装。Arch Linux 直接 sudo pacman -S dnsmasq 即可。我的笔记本电脑需要给手机 DHCP 及 IP 转发用，因此早就安装了 dnsmasq，但是直到今天才想起这么用它……

配置 dnsmasq

dnsmasq 的各参数可以通过 man dnsmasq 查看，配置文件中也有许多清晰明了的注释。默认的配置文件位于 /etc/dnsmasq.conf，打开它，可以更改这几个地方：

• no-resolv
• no-poll
• server=8.8.8.8
• server=8.8.4.4
• server=/cn/114.114.114.114
• server=/taobao.com/114.114.114.114
• server=/taobaocdn.com/114.114.114.114
• server=/tbcache.com/114.114.114.114
• server=/tdimg.com/114.114.114.114
  ( S  T# i6 ]& e" i( a

第一行的 no-resolv 和第二行的 no-pull 让 dnsmasq 不要通过 /etc/resolv.conf 确定上游服务器，也不要检测 /etc/resolv.conf 的变化（因为我们就是要拿本机当服务器嘛），接下来两行指定 dnsmasq 默认查询的上游服务器，此处以 Google Public DNS 为例，喜欢用 OpenDNS 的也可以改 OpenDNS。接下来就是规定一张名单了，把一些国内网站的域名写在这里即可。比如server=/cn/114.114.114.114 便是把所有 .cn 的域名全部通过 114.114.114.114 这台国内 DNS 服务器来解析，你也可以改成其他的国内 DNS 比如你的运营商提供的 DNS。接下来四行是淘宝的几个域名，让它们也通过国内的 DNS 服务器解析。

这样分流操作之后，默认所有域名都通过 8.8.8.8 和 8.8.4.4 解析，但是所有的 .cn 域名以及淘宝的域名通过 114.114.114.114 这台国内 DNS 服务器解析。当然，除了淘宝网，你也可以添加更多的域名，根据自己的喜好，把经常访问，但是使用国外服务器解析到很慢的服务器上的网站域名都可以添加进去，不过：如果这个网站本身就只能一台服务器，没有 CDN 加速，那再怎么添加也是无济于事的，得让网站管理员去买双线机房……另外，在写这篇文章的时候，发现 https://twitter.com/felixonmars 维护了一张国内常用的、但是通过国外 DNS 会解析错误的网站域名的http://felixc.at/Dnsmasq，据他所https://twitter.com/felixonmars/status/243632244651069440，这是他在公司里部署这一套东西之后，公司里其他人报怨「慢」的网站域名收集来的，应该囊括了绝大多数有此问题的网站，值得依赖，欢迎选用。如果觉得直接把这么多域名加在 /etc/dnsmasq.conf 里不爽的话，可以在 dnsmasq.conf 里把 conf-dir=/etc/dnsmasq.d 这一行取消注释，然后把在 /etc/dnsmasq.d 里弄点列表。比如我就是把 https://twitter.com/felixonmars 维护的列表放在/etc/dnsmasq.d/server.china.conf 里。

配置好之后，保存，Ubuntu 可用 sudo service dnsmasq restart，Arch Linux 可用 sudo rc.d restart dnsmasq 重启 dnsmasq。如果没有错误的话，这时本地的 dnsmasq 已经跑起来了。

测试 dnsmasq

测试一下：

• wzyboy@vermilion:~$ dig www.taobao.com @8.8.8.8 +short
• www.gslb.taobao.com.danuoyi.tbcache.com.
• scorpio.danuoyi.tbcache.com.
• 119.167.195.251 → 这是淘宝的青岛联通的服务器，我用江苏电信连奇慢无比
• 119.167.195.241 → 这也是青岛联通
• wzyboy@vermilion:~$ dig www.taobao.com @127.0.0.1 +short
• www.gslb.taobao.com.danuoyi.tbcache.com.
• scorpio.danuoyi.tbcache.com.
• 222.186.49.251 → 解析到常州电信了，快！
• 61.155.221.241 → 这是上海电信
• wzyboy@vermilion:~$ dig twitter.com @127.0.0.1 +short
• 199.59.150.7 → Twitter 还是用 8.8.8.8 解析的，所以解析出来是未经污染的正确地址
• 199.59.148.82
• 199.59.149.230
  5 X$ T, v) y( Y; c7 n

效果很明显，这时可以把本地的 DNS 设为 127.0.0.1 了。大部分 Linux 用户直接更改 /etc/resolv.conf 的内容为

• nameserver 127.0.0.1
  7 j: K( E# g7 O) a/ }

即可。Ubuntu 12.04 及以后的用户，可能需要对 resolv.conf 做一些手脚，具体参考http://www.stgraber.org/2012/02/24/dns-in-ubuntu-12-04/。如果不愿意改的话，可能每次联网都要手工改一次 resolv.conf，或者在 NetworkManager 中手工指定 127.0.0.1 为 DNS。DHCP 用户的话，可以通过 /etc/resolv.conf.head 之类的文件来保证 127.0.0.1 在第一行。

这样配置完之后，如果你没有在 dnsmasq 里限定查询 IP，那么你的家人、朋友们也是可以把你的电脑作为 DNS 服务器的。如果你本地是 VPN 全局翻墙的话，需要把你选择的国内 DNS 服务器通过路由表加入直连的范围内。当然，已经使用 chnroutes 的就不需要了。

五、我不是 Linux 用户怎么办？如果你是 Windows 用户

参考这个http://stackoverflow.com/questions/7709744/is-there-something-like-dnsmasq-for-windows，去配个 BIND9 的 Windows 版本试试吧。或者可以装个 dnsmasq 的 Windows 代替品。
3 u3 r8 i# W: Y  }" K更新：有人写了篇http://zww.me/archives/25714，使用 Windows 下的同类软件解决此问题，值得阅读。

如果你是 Mac OS X 用户

Mac OS X 的 resolver 比较独特，似乎有比较简陋的解决方法，参考http://blog.xupeng.me/2010/10/25/weird-snow-leopard-dns-issue/。另外，OS X 似乎也是自带 named 的，所以……
+ \3 ]3 x3 r! y& \: ?安装 http://brew.sh/ 吧，然后 brew install dnsmasq 喽……

其实还有更通用的方法

听说过 https://www.virtualbox.org/ 吗？开源、免费、强大的虚拟机软件。可以装个最配置非常低下的虚拟机，比如 32 MiB 内存甚至 16 MiB 内存的虚拟机（要知道 http://kangzj.net/what-can-a-64m-vps-do/），装个最简单的小 Linux，比如只有 37M 的 Ubuntu Core，然后装上依赖包几乎没有的 dnsmasq，再把 Windows / OS X 的 DNS 设为虚拟机的 IP 地址，于是便可以用了。在当今内存动辄 4 GiB 的情况下，拿 16MiB 内存出来换个更舒畅的上网体验，还是很不错的。

六、尾声

祝各位读者折腾成功，上网愉悦。

补充：其实这样本地 DNS 缓存服务器，还有这样的好处：

• wzyboy@vermilion:~$ dig wzyboy.im
• ; < <>> DiG 9.9.1-P2 < <>> wzyboy.im
• ;; global options: +cmd
• ;wzyboy.im.                        IN        A
• wzyboy.im.                103        IN        A        198.244.51.13
• ;; Query time: 307 msec
• ;; SERVER: 127.0.0.1#53(127.0.0.1)
• ;; WHEN: Thu Sep  6 21:32:07 2012
• ;; MSG SIZE  rcvd: 54
• wzyboy@vermilion:~$ dig wzyboy.im
• ; < <>> DiG 9.9.1-P2 < <>> wzyboy.im
• ;; global options: +cmd
• ;wzyboy.im.                        IN        A
• wzyboy.im.                95        IN        A        198.244.51.13
• ;; Query time: 2 msec
• ;; SERVER: 127.0.0.1#53(127.0.0.1)
• ;; WHEN: Thu Sep  6 21:32:15 2012
• ;; MSG SIZE  rcvd: 43
  

看出来了吧？

$ e+ ~" `; }: J5 e0 {* |