翻墙问答:DNS的污染问题

2012年6月21日 | 分类: 翻墙相关 | 标签: , ,

DC:又到了翻墙问答的时间。相信好多听众,都受到DNS污染问题困扰,由于中国当局在DNS上做手脚,令翻墙难度提高了不少。除了过往介绍过的 HOSTS文件编辑之外,最近OpenDNS推出了一个叫DNSCrypt的新工具,据闻在解决DNS污染问题上颇有帮助,不知这是怎样的工具?

李:DNSCrypt,略懂英文的人,都应该猜到这工具用什么原理去防止各类DNS污染的情况,这是利用加密技术,令DNS整个解析过程,不会被第三者干扰,从而确保用家浏览正确的网站,而不是被个别人士所骑劫的网站。

其实所谓的DNS污染,是利用很多现存DNS技术的保安漏洞去达致,只不过中国当局比起众多黑客高级一些地方在于,黑客不可能改变各大电讯公司的 DNS主机纪录,但中国当局具备改变电讯公司纪录的政治能力。但只要互联网用家可以绕过中国电讯公司的DNS主机,仍然可以避过DNS污染的袭击。

而 DNSCrypt是OpenDNS公司推出的小工具,令整个DNS解析过程,可以在加密的情况下,直接由OpenDNS的主机负责,这样就有效避过中国的 DNS污染,对大部分用户而言,这也是最简单直接的方法,因为并不需要什么高深技术知识,只要把软件安装,然后执行便成事。

DC:那这只软件可以支援什么平台?又怎样安装?

李:由于DNSCrypt仍然在测试阶段,所以只限使用Windows和Mac的桌面电脑才可以安装使用。只要去OpenDNS的网站去下载便可以,我们这集翻墙问答会提供片段,示范如何在Windows下安装使用DNSCrypt,欢迎大家留意收看。

 

至于平板电脑以及智能手机,这可能要耐心等一下,因为平板电脑和智能手机的应用软件,涉及软件商店的审批程序,而要开发相关的软件亦有一定技术难度。这一如大部分翻墙软件,现时仍然未有平板电脑和智能手机相应版本一样。

由于这只软件,迟早会引起中国当局的注意,因此,本人要再一次不厌其烦提醒各位听众,请翻墙前往OpenDNS的主机下载软件,不要在中国国内的网站下载所谓绿色版之类,随时这些版本被当局,或不怀好意的黑客加了木马也不知,那就得不偿失。

DC:有些DNS代理,或涉及特别埠口的软件,在个别Wi-Fi路由器,或在咖啡室之类的公共路由器使用上都可能有问题,或要作出特别设定。那DNSCrypt又有没有这类问题?

李:DNSCrypt使用的加密技术,由于未算是一种互联网公认技术标准,所以在部分路由器,特别家用Wi-Fi路由器,或餐厅、机场等用的公共路由器,必须作出改动才能使用自如。

DNSCrypt 有一个选项,可以容许用家使用TCP443埠口来做加密解析,因为大部分路由器以及防火墙,都会视TCP443埠口的通讯是SSL通讯而不作拦截或封锁, 基本上,你在外面用的时候,选择这个选项就对。当然,这选项的缺点是速度比较慢。但相信随著DNSCrypt软件和技术本身日趋成熟,这问题应该可以慢慢 获得解决。

DNSCrypt容许用家,在OpenDNS加密的解析主机未能够为你提供服务时,自动改用原本DHCP指派的DNS主机,但 在中国的特殊情况下,我们不建议使用这个选项,因为这有违你安装DNSCrypt的原意。始终中国安装DNSCrypt的人,要防的并非一般的黑客,而是 由整个国家机器。能够尽量使用DNSCrypt的解析,就应该坚持使用DNSCrypt,除非中国当局干扰DNSCrypt至一个一般人无法使用这技术的 程度,这又作别论了。

DC:多谢你李建军,在下周同样时间,我们会继续有翻墙问答,回应各位有关翻墙的问题,并介绍各类新出的翻墙技术,欢迎各位下周继续收听这个节目。如果你对翻墙问题有任何疑问,亦可以联络我们,我们会尽力在节目中,为各位一一作答。再会。

原文RFA

  1. AS
    2012年7月1日23:50
  2. rain
    2012年6月27日00:41

    为什么PPTP的VPN仍然无法上twitter?已使用pdnsd+tcp 8.8.8.8,我现在是用SSH上的。

  3. 2012年6月25日22:16

    说实话还是Hotspot Shield好用,稳定性高,还免费不限流量

  4. W.We
    2012年6月23日11:39

    据说中国的Cnnic已经和国际互联网断开了。

    • iGFW
      2012年6月23日12:48

      没听说,求消息源

  5. 本初秋子
    2012年6月22日13:03

    用在路由上一直很稳定

  6. W.We
    2012年6月22日07:33

    即使避开了DNS污染,但是IP屏蔽和敏感词过滤还是逃不掉。

  7. GUP
    2012年6月21日21:55

    感觉DNSCrypt没什么用,我们平常使用的主要被封的是google的服务而且是ip封锁,一般情况下dns服务器返回的即使是正确的ip但是基本上是劫持的ip。还是修改一下hosts或者是用代理软件比较见效

  8. dettime978
    2012年6月21日20:58

    谢谢,不过没用过啊,不知道怎么使用呢

  9. michael
    2012年6月21日19:46

    在mac os x lion早用上了,效果不错,不过会造成vpn的连接失败!在win下,效果也不错,不错如果不正常退出的话,会造成无法上网,需要重新手动设定dns