Pages

Wednesday, 21 January 2015

GFW升级DNS污染策略 导致用户被“墙”到色情网站

GreatFire.org对中国防火长城近期升级DNS污染手段的报告,指出GFW在原有的一组相对固定的虚假IP地址上随机添加了有相应网站的IP地址,从而导致有墙内网民被转跳到完全无关的网站,其中甚至包括一个德国色情网站.
    文/GreatFire

    网络审查监测组织Greatfire指出,中国的防火墙日前进行了升级,加入新的“墙”法,导致用户甚至被墙到色情网站。此次升级也导致许多翻墙工具失效。

    此前,中国的网民在未使用翻墙工具的情况下,若要连接Facebook,Twitter和其他被封的网站,会被域名服务器污染系统导到一系列被封锁、或根本不存在的假IP地址。然后,用户将跳转到连接超时的页面。

    但中国的域名服务器污染系统升级之后,在原有假IP地址的基础上,审查机构开始使用有相应网站的真IP地址。例如,https://support.dnspod.cn/Tools/tools/ 显示,如果中国网民试图在国内连接Facebook,用户可能登入一个随机的页面.
    一位中国网民向Greatfire报告说,当他从中国连接Facebook时,他竟然连到了一个俄罗斯的网站,且完全与Facebook无关。另一位用户在推特上表示,当他试图连接一个VPN网站时,他被导到一个德国的成人网站。

    在中国强力扫黄的大环境下,用户被导到成人网站,显得尤其讽刺。北京经常将“保护未成年人”作为网络审查的一个说辞。但在这个例子上,当用户想连接一个合法但被封锁的网站时,却被返回到被中国视为违法的成人网站。如果这不是审查方出错,是否意味着中国的审查机构是超越中国法律的?

    此次中国的防火墙升级,有效地导致许多反DNS污染的工具失效。由于GFW此前仅适用小量的假IP,这些翻墙工具可容易跳过这些假IP,并绕过封锁连接到正确的IP地址。但由于现在GFW也使用有效的IP地址来进行污染,这样的翻墙原理也随之失效。

    这也可能意味着,审查机构可能在试验新的隐藏审查的方法,通过将网民导到随机的可连接的页面,让用户以为是原网站出了问题。

    中国网民对于连接超时并不陌生,许多人自然而然地将其与墙联系起来。Greatfire认为,当局可能希望,在一段过渡期后,网民将适应新的DNS污染模式。中国的许多网络服务提供商此前已经使用这种重新导向随机页面的方法,来向用户推送广告。

    很显然,当局在不断地修补升级审查机制。Greatfire预期,在今后几个月内,GFW将有更多的变化。

推特用户@chockenberry昨日在其帐号上抱怨自己的网站遭到大量来自中国IP的随机请求,相当于遭受了轻量级的DDoS攻击。这名站主莫名其妙地就成了中国网络屏蔽的受害者。

以下内容来自Twitter 帐号@bitinn(比特客栈的寻行数墨)和@chockenberry(Craig Hockenberry):

‏@bitinn:GFW近期改变DNS污染策略,返回随机的IP地址,不仅给普通用户带来极大困扰,也给被间接DDOS的站主们带来很大麻烦。开发者 @chockenberry 就遇到了这样的情况,服务器瞬间被来自中国的看似随机的BT下载和网络请求挤爆。

‏@chockenberry: Ever wonder what happens when DNS in China is poisoned and pointed at your server? http://img.ly/B4cH (the blue line is requests!)
(你想知道中国的DNS被污染后指向你的服务器是什么样子的?蓝线是请求量)

‏@chockenberry: That means dealing with 56 Mbps/s of requests for everything from BitTorrent trackers to and porn sites. Not fun.
(这意味着每秒56兆的请求量,包括了从BitTorrent服务器到色情网站的各种内容。)