iT邦幫忙

0

DNS污染這解法可行嗎?一個網域設定多個NS紀錄

Amy 2021-05-13 10:52:231554 瀏覽

如標題,我知道NS(Name Server)記錄是網域伺服器記錄,用來指定該網域由哪個DNS伺服器來進行解析,在網域後台可以設定
我的理解是,如果ns記錄設定多個nameserver(網域伺服器),比如Google公共DNS、中華電DNS等,
這樣台灣、香港Client用戶端訪問我網域時,不論他設定哪裡的公共DNS,都可以順利訪問我方網站,這方法可行嗎?
特別是中國的Client用戶端,也可行嗎?

看更多先前的討論...收起先前的討論...
我只知道~中國要封鎖網域~就會徹底封鎖~而且還可能派人上門查看~被失蹤XD
ks1217 iT邦研究生 4 級 ‧ 2021-05-13 11:04:11 檢舉
當您註冊一個Domain name, 並設定代管的DNS後(例如中華電信等), 最後都會同步到 Root DNS(全球就那幾台), 所以在世界各地都可以查到你的DNS紀錄, 所以設定多個是沒有意義的,
中國的ISP想必DNS都被指定到被限制的DNS (好控管), 所以當中國要封鎖你, 直接從他們自家的DNS去管控之外, 還可以用長城防火牆鎖IP跟DNS.
當然如果您的中國客戶不多, 可以讓他們連VPN到其他未被管控的國家上網, 就可以解決這個問題.
又不是你能取得真正的域名就可以連接,中國的GFW除了挾持,還有黑名單封堵,甚至只讓上白名單裡的網站,你就算可以拿到一堆IP,只要不在白名單內,一樣上不了!
Amy iT邦新手 5 級 ‧ 2021-05-13 11:52:54 檢舉
謝謝三位回覆:那位在台灣、香港的網民用此方式是可行的?(沒有像中國防火牆限制)
讓中國用戶VPN不太可能,他們不會用,
然後我香港的虛擬主機(同IP)掛23個網域,
我用Blocky網站查,發現我的虛擬主機IP沒被中國防火牆擋,
而有的網域有被擋,有的沒被擋,
所以我才想會不會只是單純的DNS域名解析
網域管理商的網域租用紀錄會記錄你設定的網域的主要NS,你主要的NS內的紀錄要自己管理,而你自己管理的NS只能自己網域的下級NS,至於公用的DNS,不論是 8.8.8.8 或是 168.95.1.1 這些,他們要找你的域名內的紀錄,會去先去問網域管理商之後,再把要求轉到你登記的NS,如果在對岸,你不可能主導該地區的 IP NS 要指向哪,最簡單的,對岸也有 8.8.8.8 這各IP,國外查詢,因為路由協定會繞到正確的主機,但是在對岸 8.8.8.8 經過長城的封鎖,最後會路由到長城管理的某台主機,然後查詢這各IP的用戶,就會拿到長城允許的資料,而不是國外正確的資料,所以有解嘛,沒解
3
raytracy
iT邦大神 1 級 ‧ 2021-05-13 11:07:00

沒用....您要先了解一下長城防火牆的原理:

假設: 中國用戶把 DNS 指向 8.8.8.8, 他以為是指到 Google 的 DNS 主機,
其實, 在他的 DNS query 要發出去的時候, 用戶端裝的光貓(等於我們中華電信的小烏龜), 就已經將 8.8.8.8 的封包全部攔下來, 轉送給長城防火牆自己內部的 DNS Server, 由他來偽裝成 Google DNS, 回應用戶的 DNS query...

這時候, 不論你的 NS 設甚麼都沒用, 因為只要從用戶端發出的 DNS qeury, 通通可以被強制攔截, 導向到一個中國自己假造的 DNS Server, 然後回應你一個假造的 DNS Record, 或者告訴你 NXDOMAIN 不讓你連....

他以為自己是去問 8.8.8.8, 實際上, 回答你的不是真正的 8.8.8.8...

看更多先前的回應...收起先前的回應...
Amy iT邦新手 5 級 ‧ 2021-05-13 12:02:42 檢舉

請問這樣結論就是:中國百姓通常是使用中國五大運營商網路上網,而運營商網路這麼會向中國防火牆告狀,只要中國防火牆比對是黑名單,
就會解析假IP?

raytracy iT邦大神 1 級 ‧ 2021-05-13 12:50:49 檢舉

是的, 所有 ISP 提供的光貓設備裡面, 都已經事先埋好長城防火牆的代理程式, 接受中央的防火牆政策管控與封包路由指揮...(所以對岸黑市才會出現破解版的光貓 Firmware, 就是為了不要讓長城控制)

Amy iT邦新手 5 級 ‧ 2021-05-13 13:43:35 檢舉

了解,謝謝闡述長城防火牆原理與現況

Amy iT邦新手 5 級 ‧ 2021-05-13 16:27:03 檢舉

想請問下,您知道中國防火牆為何會把網站網域設定為黑名單嗎?
因為網域一開始好好的,過一段時間就發現被牆或被汙染?

raytracy iT邦大神 1 級 ‧ 2021-05-13 20:03:41 檢舉

他們是內容審查, 要看你的網站裡面, 有甚麼特殊文字或是圖片, 剛好觸動到他們的敏感聯想? 而且現在大多採 AI 自動判斷, 所以也不會有甚麼人工申訴的機會, AI 機器人認為要封, 就自動下令給所有機器封掉了....

請多上大陸的微博網站, 瀏覽它們每天討論的熱門話題, 從他們群眾的交談中, 大約可以判斷出, 甚麼時間點可能會封掉甚麼文字....

下面有一些大家整理出來被封掉機率很高的字詞, 但並不只限於這些, 官方是每天都在調整, 並納入新的敏感字詞.....如果你的網站內容包含其中任何字詞, 可能整個網站就都看不見了:
https://zh.wikiversity.org/zh-hk/%E4%B8%AD%E8%8F%AF%E4%BA%BA%E6%B0%91%E5%85%B1%E5%92%8C%E5%9C%8B%E5%AF%A9%E6%9F%A5%E8%BE%AD%E5%BD%99%E5%88%97%E8%A1%A8

Amy iT邦新手 5 級 ‧ 2021-05-14 10:52:57 檢舉

這情況跟我遇到的問題幾乎一樣,就是中國運營商的DNS解析我方網站的香港IP被改成美國IP或其他中國封鎖的IP
修改Hosts檔案、裝VPN、設定Proxy Server(代理伺服器)-->用戶不會
直接把IP輸入至網頁瀏覽器的網址列上-->對SEO不好、使用者也不友善
感覺只能朝網站內容下手?看網站有無「中華人民共和國審查辭彙」限制的字眼?
https://ithelp.ithome.com.tw/upload/images/20210514/20136606Ntgp6JA2c8.jpg
https://zh.wikipedia.org/wiki/%E4%BA%92%E8%81%94%E7%BD%91%E5%AE%A1%E6%9F%A5

0
japhenchen
iT邦大師 1 級 ‧ 2021-05-13 11:11:54

乖乖付錢給官方許可(被監視)的VPN吧!多少錢你都得付!不要『想孔想縫』

看更多先前的回應...收起先前的回應...
Amy iT邦新手 5 級 ‧ 2021-05-13 11:54:18 檢舉

請問你說的[官方許可(被監視)的VPN],是Client用戶端安裝?

台灣端有種花電信的VPN,是可以被認可的兩岸通訊,目前僅限於site to site連接,不允許公眾使用

Amy iT邦新手 5 級 ‧ 2021-05-13 13:45:07 檢舉

僅限於site to site連接-->這用途感覺是企業使用? 比如台灣公司與中國辦公室相互連接?

是的,而且如果被發現有提供給公眾外連的情況,除了會被立即終止VPN的使用之外,還可能會被控訴...

ks1217 iT邦研究生 4 級 ‧ 2021-05-13 14:58:02 檢舉

私自翻牆(VPN), 在中國當地是違法行為,
除了幾家有"執照"的可以幫你建立Site to Site VPN之外, 其餘自建VPN的都屬違法,

這些有執照的,擺明收你保護費,多少錢都得給,你還不得抗議,因為你沒有別的選擇

Amy iT邦新手 5 級 ‧ 2021-05-13 16:08:44 檢舉

這些有執照的,擺明收你保護費-->這是指有"執照"的向[想使用VPN]的中國民眾收取?

你想的美,只跟設點在中國境內的外商收取

老百姓想爬牆?抓到送新疆

我說的執照,不是外商,而是中國能運作的電信商,官方的

Amy iT邦新手 5 級 ‧ 2021-05-13 16:56:44 檢舉

恩恩,了解了,这样合理多了,谢谢回覆~

stevejobs iT邦新手 5 級 ‧ 2021-05-14 03:41:53 檢舉

官方是無法監視Vpn的。但他們會限製Vpn的流量。讓你無法使用。Vpn請了解是什麼在說監視。
跟官方買是付通行費的意思。當然很貴。

所謂監視,是指有誰在連接這個VPN....

Amy iT邦新手 5 級 ‧ 2021-05-14 10:14:01 檢舉

請問中國防火牆分辨出來VPN的流量?
VPN應該無法監視吧?點對點的加密連線

0
Kert
iT邦新手 3 級 ‧ 2021-05-14 06:35:15

要大陸能正常訪問 1.主機在大陸 2.申請備案號 否則一切都是未知

今天能上 明天404 上海能上 北京 404

看更多先前的回應...收起先前的回應...
linyumo iT邦新手 4 級 ‧ 2021-05-14 08:07:10 檢舉

備案不是萬能的,內容有問題,一樣被封

Amy iT邦新手 5 級 ‧ 2021-05-14 10:55:18 檢舉

對,我提工單問過中國的雲主機客服工程師,他說網站有ICP備案還是有可能被封,無法杜絕DNS汙染

linyumo iT邦新手 4 級 ‧ 2021-05-14 11:33:57 檢舉

通常有問題的網站,就是那種很高機率被封的網站,我的作法,用非80或443的方式在阿里架設網站(這是重點),可以在gcp或aws(目前使用gcp是沒問題的)做80及443的處理,gcp跟阿里的連線方式,使用nginx的proxy_pass的方式,可以隱藏阿里那邊的網站
這招,阿里目前還沒被封,撐多久不知,如果又被封就又再想其他方式
速度上是可行的
但以上有個重點,使用gcp一定要在香港,阿里雲也是在香港,不要進內地,
阿里的頻寬開5-10m即可,不需備案,中國內地一樣可找到,速度上不會太差,只是gcp是做跳轉的,它是直接曝光出去,所以有蠻高的機率會被封,所以平常就要多開幾部跳板機

linyumo iT邦新手 4 級 ‧ 2021-05-14 11:39:06 檢舉

另外補充,dns直接在由阿里代管,但購買域名一般都是在godday購買的

linyumo iT邦新手 4 級 ‧ 2021-05-14 11:42:36 檢舉

上面提的方式只是在費用上有限的情況下,如果預算很夠多,用專線是最快的方式,被封的機率極低

0
linyumo
iT邦新手 4 級 ‧ 2021-05-14 07:54:39

上面說的都是正確的,但實務上我也遇過,當初的解法是換ip,然後就好了,所以比較常遇到被擋的問題,dns解析也可以阿里雲上設定,阿里雲設定dns是免費的,經驗是,要做中國的生意,就是上阿里或騰訊,所以解析最好委託到阿里或騰訊
因為工作的關係,主力是在中國市場,所以可以多問我,互相交流
上面的問題,真的可以試試看換不同ip,別問我為何如此,在中國的網路,不能用一般的網路常識來理解

看更多先前的回應...收起先前的回應...
Amy iT邦新手 5 級 ‧ 2021-05-14 11:48:03 檢舉

換ip-->網站搬家到其他虛擬主機?你有推薦的安全、穩定、快速的香港虛擬主機嗎?
dns解析也可以阿里雲上設定-->是阿里雲雲解析DNS嗎? 你是用免費版的,還是具有DNSSEC功能的付費個人版?
解析最好委託到阿里或騰訊-->我也在考慮這二家,但不知道哪家比較穩?然後哪間市占率比較高?

linyumo iT邦新手 4 級 ‧ 2021-05-14 11:58:57 檢舉

上一則問題的解答方式,我有解答了,dnssec沒有比較好,無法根除問題,一樣可能會發生dns汙染的問題,用免費版的即可,騰訊雲速度評價不錯,還沒機會實測,阿里比較穩定
最好是照我在上一則的問題的方式,阿里不曝光80/443,因為沒用cdn或高防,您的網站ip會曝光,很容易被鎖定攻擊,被鎖定攻擊沒關係,只是阿里會發個通知信給您,然後很快地進入清洗,您的網站短時間之內,除了用阿里網站後台進入主機以外,連ssh都無法進入,所以要多一層跳轉來保護主要網站

linyumo iT邦新手 4 級 ‧ 2021-05-14 12:02:13 檢舉

跳板可以死,多建幾台跳板備援就好,設定也只是nginx的設定,主要網站不能死,不然全陣亡

linyumo iT邦新手 4 級 ‧ 2021-05-14 12:06:03 檢舉

您應該知道不管gcp或阿里等其他雲主機商,換ip是不用錢的,雲主機是可以不用動的

linyumo iT邦新手 4 級 ‧ 2021-05-14 12:07:16 檢舉

這半年,中國網路變化多,我花不少時間在處理,快感不上變化

Amy iT邦新手 5 級 ‧ 2021-05-14 14:08:09 檢舉

To linyumo:您回答的信息量巨大,我統一在這請教:
aws-->您或認識的人有用過嗎?
阿里目前還沒被封-->您已使用多久?
gcp一定要在香港-->請問是在GCP購買,然後國家/地區選香港?
阿里雲也是在香港-->請問使用免費的雲解析DNS,是進入"香港"的阿里云網站控制台設定,而不是透過"中國"的?
阿里的頻寬開5-10m-->請問這是阿里云免費的雲解析DNS嗎?
跳板機-->只在Nginx設定即可?不用另外找廠商購買?這個對網站SEO、速度會有影響嗎?
dns直接在由阿里代管-->請問這是阿里云免費的雲解析DNS嗎?
購買域名一般都是在godday購買-->您意思是建議域名統一在Godaddy買嗎?然後DNS也在Godaddy託管?
我這邊域名有向name.com(大部分)、hkGodaddy、阿里云、west.cn、hostingspeed.net買
專線-->費用最便宜要多少?用戶Client需要設定嗎?如果用戶Client端需要設定,那無法用,畢竟網站的用戶是靠搜尋引擎與軟文進來的
沒用cdn或高防,您的網站ip會曝光-->我有考慮這家的免備案香港高防CDN,走香港線路,但線路會針對中國用戶加速
https://www.jiyingyun.com/
您覺得怎麼樣?
多一層跳轉來保護主要網站-->使用跳板機?還是免備案CDN?
雲主機商換ip是不用錢的-->我還真不知道,沒用過
我花不少時間在處理-->辛苦你了

linyumo iT邦新手 4 級 ‧ 2021-05-15 20:03:42 檢舉

可以私訊嗎或mail也可以?!透漏太多了,怕這招被看到,之後就無效,而且還有些細節我沒說,it邦幫忙,有在做seo,難保證對岸不會看到

linyumo iT邦新手 4 級 ‧ 2021-05-15 20:06:10 檢舉

中國網路真的不能完全以一般網路常識來看,我吃過虧,到現在我也還不能知道確切原因,但遇到的問題最後都有搞定,但評估過後不適合公開,有興趣可以mail
linyumo@gmail.com

0
echochio
iT邦高手 1 級 ‧ 2021-05-14 08:05:21

有一個叫做 DNS over HTTPS
配上包裝在軟體內的 VPN
那軟體就不受長城控管了
不過這個方式遲早被擋

看更多先前的回應...收起先前的回應...
linyumo iT邦新手 4 級 ‧ 2021-05-14 08:09:31 檢舉

在阿里自架vpn,用SHADOWSOCKS可解,用proxy的方式,試了幾個月,沒被封過

linyumo iT邦新手 4 級 ‧ 2021-05-14 11:48:23 檢舉

如果有自己的機房,使用正向代理(通透),跟阿里對接,使用者開機就會是阿里雲的ip了

抱歉,下面的提問在這裡回答,我已經不能回問題了

只要使用vpn都一定要在用戶端設定,但首先要知道為何要使用vpn?!這樣我才能給比較好的建議,另外,dns汙染的問題,網站全面使用https,http全部關掉,憑證花錢買一下比較好,但用免費的也可,有問題可以line我,id跟我的帳號一樣,我只是mis不是廠商

Amy iT邦新手 5 級 ‧ 2021-05-14 11:51:05 檢舉

To echochio:DNS over HTTPS-->這個您或周遭有人實際使用過被擋嗎?

Amy iT邦新手 5 級 ‧ 2021-05-14 11:58:31 檢舉

To linyumo:阿里自架vpn,用SHADOWSOCKS可解,用proxy的方式-->請問你這個方式,需要在Client用戶端設定?

Amy iT邦新手 5 級 ‧ 2021-05-14 14:57:11 檢舉

To linyumo:那就是無法做VPN了,只要需要在用戶Client端設定的都無法執行
另外您無法回問題,我也有遇過,因為你帳號等級是新手4級的關係,每日回答問題有數量限制,教您一招,您回答的問題可以"修改",然後可以一直更新內容,然後更新的內容前面可加上時間

echochio iT邦高手 1 級 ‧ 2021-05-15 00:09:00 檢舉

To Amy DNS over HTTPS
這是有人用過的,那個域名取成 if.fuxk.me (擺明就是髒話)
他是在內地自建 DNS server ....如何自件 請自行 Google , 因為封閉加密
那個 gfw 更本擋不了這個不存在的域名,那域名是對應國外的 ip
連國外 ip 是有加密的 (HTTPS) ,錄過封包我只看到 域名,最多抓到 ip,, 然後他三不五時換 ip ....

Amy iT邦新手 5 級 ‧ 2021-05-17 11:42:57 檢舉

To echochio:
如果無法在地自建 DNS server的話就無法使用DNS over HTTPS嗎?
你說這個人用國外能一直換IP,代表中國gfw不會"完全"阻擋中國民眾連國外IP,
我是覺得奇怪,為什麼他有"這麼多國外IP"可以換?

echochio iT邦高手 1 級 ‧ 2021-05-19 09:46:38 檢舉

To Amy:
您問 --> 為什麼他有"這麼多國外IP"可以換?

換IP 很簡單呀 ...
AWS EC2 換 IP 不難吧, 用 api 就可換
alibaba ECS 香港 換 IP 不難吧, 用 api 就可換
GCP 就不必說了

echochio iT邦高手 1 級 ‧ 2021-05-19 09:52:47 檢舉

To Amy:
您問 -->如果無法在地自建 DNS server的話就無法使用DNS over HTTPS嗎?

當然放國外也可以的, 不保證不被 GFW 擋, 確保 DNS over HTTPS 不被 GFW 擋放內地

Amy iT邦新手 5 級 ‧ 2021-05-19 11:56:23 檢舉

To echochio:
請問:
一、謝謝您提供更換IP的方法,那AWS EC2、alibaba ECS、GCP這三個產品,是類似Shared Host還是VPS?
用途為存放網站資料與架設網站嗎?
二、使用DNS over HTTPS這技術,也需要用戶Client端設定DNS或VPN嗎?

echochio iT邦高手 1 級 ‧ 2021-05-19 12:22:32 檢舉

TO Amy:
一、這 google 不難吧 .....
什麼是 Amazon EC2
https://docs.aws.amazon.com/zh_tw/AWSEC2/latest/UserGuide/concepts.html
什麼是 alibaba ECS
https://www.alibabacloud.com/help/tc/doc-detail/25367.htm

用途是啥 ...自行運用呀

二、什麼是 DNS over HTTPS
https://zh.wikipedia.org/wiki/DNS_over_HTTPS

Client端 很多語言都支援包成 app 不難呀.. 賣產品當然要包成 APP
https://github.com/sfionov/dns-over-https-c-client
https://github.com/dcid/doh-php-client
https://github.com/stamparm/python-doh

Amy iT邦新手 5 級 ‧ 2021-05-19 14:12:49 檢舉

To echochio:
一、就因為Google的答案很多元,不知哪個正確,或者是用途非常多,
因此需要"有經驗、專業"的人來請教,得知該產品實務上,最主要的"應用"在哪個地方
二、您意思是,DNS over HTTPS這技術主要用在APP使用的網域上面嗎?
網站使用的網域比較沒在使用嗎?

0
lbp0200
iT邦見習生 ‧ 2021-05-14 14:25:28

一定要用HTTPS加密方式才能访问,否则一定会被GFW封掉

Amy iT邦新手 5 級 ‧ 2021-05-14 14:35:04 檢舉

您是說網站裝SSL憑證嗎?但我之前被DNS污染的網域也是有安裝SSL憑證...

我要發表回答

立即登入回答