『轉』防止DNS欺騙的軟體

由於眾所周知的歷史原因，從五月底的某一天開始，西理工Linux小組的網站 ( https://xautlinux.net ) 遭到國家防火牆的誤傷，而且居然是最卑劣的DNS封鎖，令我非常憤怒。對Google各項服務的大規模干擾也開始了，嚴重影響到正常的工作和學習，更加令人憤恨不已。
值此六一兒童節之際，撰寫本篇文章，獻給開源與Linux的初學者，期待早日成長為具有獨立思考能力的IT專業人才。

一、前言

對我們做技術的人來說，牆的存在就像你在寫字的時候旁邊有一個人用棍子不斷捅你。無數的時間和精力被花在對付它身上。由於這個事件的緣故，我很少寫部落格文章了。當初為了培養學生完善的人格而建立的LUPA部落格，居然不准我在文章中添加鏈接。我可不是叫獸，怎能引用別人的文字，卻不給出處呢。只能放棄LUPA了，只更新牆外部落格。

二、DNS欺騙原理

近些年來中國大陸出現多次因為DNS欺騙造成的大規模網路癱瘓事件。DNS欺騙，也稱為網域伺服器緩存污染（DNS cache pollution），或著網域伺服器緩存投毒（DNS cache poisoning），是指一些刻意製造或無意中製造出來的網域伺服器封包，把網域指往不正確的IP地址。DNS欺騙的危害是巨大的，常見被利用來釣魚、掛馬之類的。
一般來說，在網際網路上一般都有可信賴的網域伺服器，但為減低網路上的流量壓力，一般的網域都會把外部的網域伺服器資料暫存起來，待下次有其他機器要求 解析網域時，可以立即提供服務。一旦有關網域的局域網域伺服器的緩存受到污染，就會把網域內的電腦導引往錯誤的伺服器或伺服器的網址。網域伺服器緩存污染 可能是通過網域伺服器軟體上的設計錯誤而產生，但亦可能由別有用心者通過研究開放架構的網域伺服器系統來利用當中的漏洞。
為了解決DNS欺騙，業界提出了DNSSEC和DNScurv 。可以看看微軟在測試實驗室中演示 DNSSEC。某些極權國家，如伊朗、朝鮮等，招安並豢養了官方駭客，用於對國內民眾封鎖網路，掩蓋歷史真相。由於在防火牆中加入太多IP和連線埠過濾規則，會使得防火牆負荷過重，於是便喪心病狂的使用DNS欺騙這種濫殺無辜的大規模殺傷性技術。

三、DnsSpeeder

本次西理工Linux小組的網站 ( https://xautlinux.net ) 被DNS干擾後，我使用nslookup指令，查詢了多個DNS伺服器，中國大陸的DNS都無返回值，國外的DNS都查詢正確。據此推測是GoDaddy的某些DNS伺服器被IP或者連線埠被臨時封鎖了，這種國家流氓行為以前也曾有過。
國內的所謂安全DNS，如114DNS只能防範電信聯通的廣告劫持，用處不大。而直接設置為OpenDNS和Google又會影響國區域網路站的速度，所以必須用DNS解析緩存軟體(DnsSpeeder,AcrylicHosts,FastCache)，其中以DnsSpeeder最強大好用，還支持正則表達式，可以設置hosts屏蔽。
在Win7系統中，不要把DnsSpeeder放在系統盤運行，可能會因為許可權不夠而運行出錯。DnsSpeeder需要佔用53連線埠 如果有其他軟體佔用了53連線埠就用不了。請下載我自己配置的版本，適合教育網內使用。友情提醒：DnsSpeeder需要使用53連線埠，要避免其他軟體佔用了53連線埠。

四、Hosts訂閱

Hosts是一個沒有副檔名的系統文件，可以用記事本等工具打開，其作用就是將一些常用的網址網域與其對應的IP地址建立一個關聯｢資料庫｣， 當用戶在瀏覽器中輸入一個需要登錄的網址時，系統會首先自動從Hosts文件中尋找對應的IP地址，一旦找到，系統會立即打開對應網頁，如果沒有找到，則 系統再會將網址提交DNS網域解析伺服器進行IP地址的解析。
和 DNS 不同的是，計算機的用戶可以直接對 Hosts 文件進行控制。Hosts 文件可以將已知的廣告伺服器重定向到無廣告的機器（通常是本地的IP地址：127.0.0.1）上來過濾廣告；減少對 DNS 伺服器的訪問來加快訪問速度並減少帶寬消耗；攔截一些惡意網站的請求，從而防止訪問欺詐網站或感染一些病毒或惡意軟體；屏蔽各類激活伺服器；優化 IPv6 站點訪問；為了避免DNS劫持，也借使用 Hosts 文件來強制將特定網站指定到正確的 IP 上。
網路上有很多修改 Hosts 文件來訪問 Google 搜尋的教程。比如就有維基媒體基金會的圖片伺服器 IP 地址被 ISP 封鎖，通過修改 Hosts 文件以正常顯示圖片的方法流傳。
手工修改Hosts文件，既繁瑣又極易出錯，有正義的IT人士共同維護著列表，如SmartHosts和ipv6-hosts等，可以通過軟體自動更新。曾經的HostsX非常好用，可惜隨著作者畢業而停止維護了。另一個軟體HostsTool 也不錯，使用huhamhire-hosts，更新比較及時。
Hosts訂閱，是手機等移動設備上規避DNS欺騙的主要方法。在PC機上可以輔助DNS解析緩存軟體，雙劍合璧。

五、瀏覽器

現在很多瀏覽器有遠程DNS解析功能，如在firefox配合autoproxy外掛程式，就會發現DNS欺騙現象沒有了。提升上網體驗選擇一個合適的瀏覽器很重要，我偏愛Firefox，不僅因為它是開源免費的軟體，而且其可高度自由定製的特性就足以打敗其他瀏覽器，豐富的拓展讓firefox無可替代。如果你不是IT高手，可能玩兒不轉｢高大上｣的Firefox。那就推薦｢白富美｣的Chrome暢遊版。
這些給菜鳥用的綠色版，都基於GoAgent的方式，安全性不太高，要想更安全，請跟隨愛德華·斯諾登（Edward Snowden，曾是CIA美國中央情報局技術分析員)自行配製並使用tor吧，必要的時候還需要在虛擬機中運行Tails來保證上網安全。

六、後記

中國大陸集中了那麼多技術力量去阻礙和減慢信息流動的速度，這方面的實力可真是全球領先。由於不願受到網站備案的羞辱和刁難，西理工Linux小組的網站 ( https://xautlinux.net ) 的網站和網域都託管在國外，和大量的中文技術網站一樣，不可避免的、隨時可能會被誤傷。

身在中國大陸墮落的教育體制內，不能說真話的時候，只能少說話。感謝每一屆愛學習的同學，能體諒我的難處，自學成才。
如今移民海外的華人越來越多。學習不努力，一生在內地。中國腦殘千千萬，QQ空間佔一半兒。
希望同學們能早日自學掌握科學上網技術，走出閉關鎖國、娛樂至上的區域網路，攜手Google，擁抱Internet上廣袤無垠的知識海洋。