問:近日想翻牆瀏覽Facebook時,有網民竟然被引導到色情網站去。這是自己的電腦中了黑客的電腦,還是中國官方的網絡審查技術作出了更新?
李建軍:過往中國當局污染DNS的手段,都是把Facebook等網站在中國網絡的DNS上引導至一些無效或名列黑名單的IP上。而你的電腦DNS快取被污染後,通常會被指到一些不存在的IP上,很久都到達不到相關網站。而這種做法己經被網絡技術專家識破,翻牆軟件可以憑這些古怪的DNS回應,得知你的電腦DNS受污染,然後再找辦法解讀正確IP。
現時中國當局就改了策略,指向一些現時仍然有效運作,甚至有可能有官員參與其中的色情網站,由於IP仍然是有效,而且仍未列入黑名單,那原有的反DNS污染機制就可能因檢測不到這種變化而失效,最後你被引導去色情網站上。
問:面對這種荒謬的DNS污染手段,一般網民可以怎麼辦?
李建軍:由於中國當局己經不擇手段去封網,相信未來有更荒謬的事情會發生,例如你想瀏覽谷歌,結果被引導到百度的IP裡去,這不足為奇。有可能日後在Windows甚至手機設定不要DHCP所派的DNS主機,而是指定一些尚未被中國當局封殺的公共DNS主機﹔或專門用來翻牆的電腦,儘量一上網就己經在VPN或翻牆狀態,避免受到中國電訊公司網絡的DNS污染。可以肯定,中國當局不斷試圖利用DNS技術的漏洞,達致封鎖網絡的效果,令中國網民無法使用任何翻牆手段。
問:之前曾經介紹過的DNSCrypt,又能否有效回應中國當局新一輪的DNS污染?
李建軍:DNSCrypt曾經是相當有效的反污染工具,但由於中國當局發現DNSCrypt的威力,現時中國的防火長城己經針對加密了的 DNS查詢作出干擾,除非OpenDNS能夠推出新技術來回應中國的新封鎖手段,否則DNSCrypt在回應中國當局的新污染上能力非常有限。
問:那現時最有效回應DNS污染的手段,又剩下什麼?
李建軍:現時有可能最有效回應DNS污染的手段,那是修改你作業系統裡的HOSTS檔案,硬性規定個別網址要指向個別正確的IP,再配合VPN和翻牆軟件翻牆,那就可以肯定完全不會出現你想瀏覽Facebook卻去了色情網站,或想在谷歌找資料卻去了百度的荒謬情況。
但由於HOSTS檔案是依附作業系統的核心檔案,因此修改HOSTS檔案需要使用者有一定技術能力。而無論Windows、Mac、Linux都有一些HOSTS檔案的編輯工具,在稍後的翻牆問答,我們會介紹這類工具使用方法,以及取得正確IP的方式,方便聽眾翻牆上網。
問:HOSTS檔案既然是作業系統的核心檔案,那是否意味著在iOS和Android平台,修改HOSTS檔案需要用到越獄,或取得Root權限等技巧?
李建軍:沒錯,如果要在平板電腦或智能手機上修改HOSTS檔案,由於涉及修改作業系統的核心設定,因此必須越獄或取得Root權限。
但越獄或取得Root權限,對中國網民而言都是相當危險的決定,因為這將意味著你的手機或平板電腦對中國當局派來的黑客中門大開,有可能令手機內的個人資料被竊。因此,除非中國的DNS污染己經去到一個嚴重妨礙翻牆軟件運作的地步,否則我們仍然不建議在手機或平板電腦上透過修改HOSTS檔案方式,對抗DNS污染。但有可能在不久將來,中國網民要預備替自己的手機或平板電腦越獄,來令各類翻牆技術繼續有效運作,這也是兩害取其輕的做法。 (完)
0:00 / 0:00