翻墙问答：面对DNS污染怎办﹖

DC： 最近很多听众都受到中国当局的DNS污染困扰，令翻墙出问题，因而来信向本台求助。面对中国当局的连串DNS污染攻击，中国网民应该如何自处？

李： 中国政府搞DNS污染并非第一天的事，因此，其实早已经有不少工具去解决这个问题。现时面对DNS污染问题有两个解决方案，一个方案是使用DNS Forwarder的程式，在自己的电脑建立一个DNS代理主机，浏览器的域名查询经这个程式由UDP信息包，转化成不易污染的TCP信息包，再去查询谷歌或其他国际上可靠的DNS主机。这种方法好处是可以继续沿用其他翻墙方案，因为中国当局很难对TCP信息包上下其手。但由于这个方法涉及不少电脑指令，既不能用于手机或平板电脑上，亦对缺乏技术根底的用户有困难。因此，在这集就比较难介绍这种方法。

另一种方法，那是先洗去机内的DNS快取，然后再利用VPN，将所有通讯经VPN走，并且设定VPN公司提供DNS处理询名查询。在Android和iOS，系统会定期自动清理DNS快取，可以在熄机后再执行VPN，就可以解决DNS污染的问题。

至于Windows，可以在执行VPN前，在命令模式执行「ipconfig /flushdns」的指令，就会将系统内所有DNS快取消除，之后再执行VPN，那就会依照VPN的设定执行DNS。这个是现时翻墙民众，比较容易避免DNS污染的方法。

只不过，以上方法要有效，都基于一个前提，那是你的电脑未染有任何支持中国政府黑客所写的木马，或没有装中国公司推出的防毒软件。如果你的电脑有病毒或木马，或你用了中国公司推出的防毒软件，那你无论怎努力，都避免不了DNS污染的问题。因此，不要乱装有问题的软件，乱开来历不明的电邮附件，以及使用中国公司推出的防毒软件，亦是相当重要的。

DC： 近日与OpenSSL有关的保安漏洞好像越来越多，OpenSSL最近又被揭发有多个保安漏洞，那这次保安漏洞，又会否像Heartbleed一样造成广泛的恶劣影响，危害网络安全？

李： 虽然这次OpenSSL发现漏洞多，遍及的版本亦比Heartbleed那次多，但恶劣影响反而没上次严重，因为这次各方面都严阵以待，OpenSSL亦获赞助一笔经费，聘请全职程式编写人员和保安专家解决漏洞，只要将OpenSSL更新到最新版本，就应该问题不大。

要避免中国当局利用OpenSSL保安漏洞偷你的资料，尽快更新软件十分重要。而由于OpenSSL长期以来潜藏的漏洞，可能未能够在短时间内完全找出来，可能在短期内，仍然会有OpenSSL相关漏洞被发现，需要各方人马紧急维修。而现时市面流行的浏览器，包括Safari、Google Chrome、Firefox和IE，都采用软件公司自行设计的SSL程式设计，相信这点会令不少听众感到较为安全一些。

由于OpenSSL的漏洞，会影响VPN的安全性，而很多VPN服务供应商都因使用Linux，而难免在提供VPN服务时，需要使用OpenSSL加以配合，因此有租用VPN服务的听众，应查询VPN服务供应商有关OpenSSL的影响，避免自己翻墙时受到OpenSSL漏洞影响，仍然懵然不知。