翻牆問答:面對DNS污染怎辦﹖


2014.06.13
Share on WhatsApp
Share on WhatsApp


DC: 最近很多聽眾都受到中國當局的DNS污染困擾,令翻牆出問題,因而來信向本台求助。面對中國當局的連串DNS污染攻擊,中國網民應該如何自處?

李: 中國政府搞DNS污染並非第一天的事,因此,其實早已經有不少工具去解決這個問題。現時面對DNS污染問題有兩個解決方案,一個方案是使用DNS Forwarder的程式,在自己的電腦建立一個DNS代理主機,瀏覽器的域名查詢經這個程式由UDP信息包,轉化成不易污染的TCP信息包,再去查詢谷歌或其他國際上可靠的DNS主機。這種方法好處是可以繼續沿用其他翻牆方案,因為中國當局很難對TCP信息包上下其手。但由於這個方法涉及不少電腦指令,既不能用於手機或平板電腦上,亦對缺乏技術根底的用戶有困難。因此,在這集就比較難介紹這種方法。

另一種方法,那是先洗去機內的DNS快取,然後再利用VPN,將所有通訊經VPN走,並且設定VPN公司提供DNS處理詢名查詢。在Android和iOS,系統會定期自動清理DNS快取,可以在熄機後再執行VPN,就可以解決DNS污染的問題。

至於Windows,可以在執行VPN前,在命令模式執行「ipconfig /flushdns」的指令,就會將系統內所有DNS快取消除,之後再執行VPN,那就會依照VPN的設定執行DNS。這個是現時翻牆民眾,比較容易避免DNS污染的方法。

只不過,以上方法要有效,都基於一個前提,那是你的電腦未染有任何支持中國政府黑客所寫的木馬,或沒有裝中國公司推出的防毒軟件。如果你的電腦有病毒或木馬,或你用了中國公司推出的防毒軟件,那你無論怎努力,都避免不了DNS污染的問題。因此,不要亂裝有問題的軟件,亂開來歷不明的電郵附件,以及使用中國公司推出的防毒軟件,亦是相當重要的。

DC: 近日與OpenSSL有關的保安漏洞好像越來越多,OpenSSL最近又被揭發有多個保安漏洞,那這次保安漏洞,又會否像Heartbleed一樣造成廣泛的惡劣影響,危害網絡安全?

李: 雖然這次OpenSSL發現漏洞多,遍及的版本亦比Heartbleed那次多,但惡劣影響反而沒上次嚴重,因為這次各方面都嚴陣以待,OpenSSL亦獲贊助一筆經費,聘請全職程式編寫人員和保安專家解決漏洞,只要將OpenSSL更新到最新版本,就應該問題不大。

要避免中國當局利用OpenSSL保安漏洞偷你的資料,儘快更新軟件十分重要。而由於OpenSSL長期以來潛藏的漏洞,可能未能夠在短時間內完全找出來,可能在短期內,仍然會有OpenSSL相關漏洞被發現,需要各方人馬緊急維修。而現時市面流行的瀏覽器,包括Safari、Google Chrome、Firefox和IE,都採用軟件公司自行設計的SSL程式設計,相信這點會令不少聽眾感到較為安全一些。

由於OpenSSL的漏洞,會影響VPN的安全性,而很多VPN服務供應商都因使用Linux,而難免在提供VPN服務時,需要使用OpenSSL加以配合,因此有租用VPN服務的聽眾,應查詢VPN服務供應商有關OpenSSL的影響,避免自己翻牆時受到OpenSSL漏洞影響,仍然懵然不知。

 

 

 

 

新增評論

請將評論填寫在如下表格中。 評論必須符合自由亞洲電台的 《使用條款》並經管理員通過後方能顯示。因此,評論將不會在您提交後即時出現。自由亞洲電台對網友評論的內容不負任何責任。敬請各位尊重他人觀點並嚴守事實。