亲友传真---海外信息直接看 https://qycz.org
其实不用翻墙就可用正确解析出域名的,使用如下命令即可:nslookup -vc www.abc.com 8.8.8.81,使用nslookup命令时加上-vc参数就可以强制使用TCP协议而不是UDP协议进行DNS查询,从而避开GFW的DNS污染2,www.abc.com ,即是你要查询的任何域名3,8.8.8.8 指的是你要使用的境外的DNS服务器(这里用的是google的8.8.8.8),你可以使用其他国家和地区的DNS服务器即可,不要使用中国的DNS服务器查询就行
这个可以被截获的,而且可以被监听并记录下来
别吓我,我胆子小可以为你所说的“可以被截获的,而且可以被监听并记录下来”找到相应的事实做为依据吗?因为知道这个避开gfw的DNS污染的方法的人不少,但从没听到类似的说法,你的说法有点过于耸人听闻了
楼上的扯远了针对用 nslookup 命令来解析域名而言,不加-vc参数时默认使用udp协议,此时不管你用的哪儿的DNS,都会被污染,导致敏感域名无法正确解析;而使用tcp协议 外加境外的DNS来解析,则不受GFW的DNS污染的干扰,可以正确解析任何域名。这事本来就这么简单,简洁实用的有效方法,老少皆宜因为3楼来一句“这个可以被截获的,而且可以被监听并记录下来”,把本来很单纯的一件事搞得无比复杂,让人觉得你用tcp解析一下域名就是个危险万分的事了?又是“被截获”又是被“监听”,让人啼笑皆非。打一个比方吧,这就好比是说,你上网了,就会被人监视,你浏览哪个网页了,会被人监听、记录一个道理,你不但上网了,你还翻墙了,那更是被记录了,那你还上网不?还翻墙不?要有安全意识没错,但是走向另一个极端,草木皆兵就不对了,还会误导很多人
为了不误导人,来做个简单的测试:1,使用 nslookup www.dongtaiwang.com 8.8.8.8 命令尝试使用默认的UDP协议解析www.dongtaiwang.com的ip2,打开http://www.kloth.net/services/nslookup.php,使用不加密的、在线网站解析www.dongtaiwang.com的IP3,使用 nslookup -vc www.dongtaiwang.com 8.8.8.8 命令强制使用tcp协议来解析www.dongtaiwang.com的IP结果如下:测试1,触发“www.dongtaiwang.com"敏感词,返回假的IP测试2,触发“www.dongtaiwang.com"敏感词,连接被重置,什么都看不到测试3,得到正确的IP结论:前两种情形,在GFW的防范范围内,不让你正常使用解析功能;第三种方法,目前不在GFW的防范范围 (不排除将来GFW会补上这个”漏洞“)当然了,如果你还坚持说第三种情形下还是被监听,只是GFW不拦截、是故意放你一马、是引蛇出洞,到时候再来统计看看你都解析了哪些敏感网址,找你算总账,那我就无话可说了。不过如果你真的这么想,离直接拔了网线也差不远了。。。。。。
哈,楼上受累了,抱歉 略过前面一大段(看了晕。。。),直接跳到你的总结附近,我发现其实我们在某些地方看法是一致的。我们都认为GFW应该有能力拦截用TCP协议来解析域名的,我说可能是GFW对这块暂时不设防,你也说“當前未有支持TCP做DNS查詢的瀏覽器,牆沒必要浪費這種資源去檢測”,所以最后的结果就是,我们可以使用TCP协议来正确解析域名;但是,对于这个“结果”的后续判断就有差异了,我认为,既然GFW现在不设防,那就用这个功能,什么问题都不会有,哪天GFW把这个“漏洞”也堵上了,那就用不了,仅此而已。你一方面认为“你說不危險,是對的”,而另一方面又认为“牆是個複雜的系統,不是說結果沒問題就萬事大吉”,言外之意就是说,虽然现在可以使用TCP协议解析域名,但是还是会被检查域名解析的内容,还是有危险?那你的结论到底是危险还是不危险?可以安全使用TCP协议解析域名还是觉得这么做不安全所以不该这么做?再看一个矛盾的表述:针对目前可以使用tcp协议解析域名,你认为“牆沒必要浪費這種資源去檢測”,也就说,你也认为GFW目前没有检测TCP协议域名解析的相关内容,你后续又说“更加不代表它沒有檢查過內容”,那你到底是说GFW检查没检查过?退一步,如果说墙有能力检测内容、并且有检测内容,那么墙就没有理由不拦截;如果墙出于资源考虑不拦截TCP协议的域名解析,那么它检测内容又有何意义?借用一下你提到的google的https搜索, 墙暂时对它没招是因为无法得知经过加密的搜索内容,除非墙完全封了google全部ip顺便说一下,默认使用tcp还是udp协议做域名解析是由系统决定的,不是浏览器或者其他上网程序决定的,具体的,是由system32下的一个dll文件决定的,一高人修改了这个dll,可以让系统默认就使用TCP协议来解析域名,详情自行google一点感想,其实讨论讨论蛮好的,越讨论,观点就越清晰,还可以锻炼锻炼脑细胞。在自由门板块讨论这个似乎有点离题,都已经讨论这么多了,希望管理员高抬贵手,让我回帖,谢谢!最后,祝大家新年幸福安康!
通过nslookup -vc的方式,gfw肯定是有能力检测的,马上可以做个试验:运行 nslookup -vc www.facebook.com 8.8.8.8可以正常得到正确的IP但运行 nslookup -vc www.kanzhongguo.com 8.8.8.8tcp连接马上会reset,一分钟之内无法再正常连接8.8.8.8这说明,gfw检测到某敏感域名,可以直接rest连接。