精华区文章阅读

发信人: petrel (紫燕＊自在飞花轻似梦*燕燕于飞), 信区: ITnews
标  题: google被封的技术讨论 (ZT)(转载)
发信站: 哈工大紫丁香 (2002年09月11日12:29:03 星期三), 站内信件

【以下文字转载自 HITComment 讨论区】
【原文由 hitsoul 所发表】

GOOGLE被封，涉及政治层面的事，本不想多说，但总抱着一丝希望，不时打开熟悉的www
.google.com，希望能奇迹出现。9月8日晚11时许，再次打开www.google.com，状态栏显
示“Web地址已经找到，请等待回应...”，心中窃喜，页面打开了，可打开的网站竟
然不是GOOGLE！！！显示的页面是一个名叫“搜星”的目录索引及集成检索网站。

加载了加密代理后，发现用www.google.com打开的是硅谷动力的网站，刷新几次照旧是
硅谷动力的检索页面；用GOOGLE的IP：216.239.33.101打开的则是GOOGLE的网站。Ping
了一下www.google.com的IP，除个别时候返回的是以往的216.239.33.101外，大部份时
间返回了211.101.226.88（悠游搜索）、211.100.21.30（硅谷动力）、 216.40.213.75
、210.68.2.136、209.120.157.141（搜星）、202.104.219.142（新时代资讯网）、162
.105.203.115（天网）等一系列不同的IP。

通过访问这些IP，发现对应的都是国内的一些目录索引或搜索引擎网站。由此可见，这
种现象不是由DNS错误解释引起。毫无疑问，有关方面人士已经在国内的DNS服务器做了
一些技术设定。至少有google.com或部份域名的DNS可能已经被错误解析。可以说，网络
的屏蔽又上了一台新台阶。有关方面进一步通过在DNS作了相应设定，致使部份网站域名
不能正确解释，进一步增加访问这些网站的难度。

客户机需要从指定的服务器获取域名（如：www.google.com）对应的IP地址信息（如216
.239.33.101），才能正确访问对应的服务器。一旦客户机指定的DNS服务器中没有包含
相应数据，则由DNS服务器在网络中进行递归查询，在其他服务器上获取地址信息。 DNS
服务器的工作原理是这样的：1．客户机将域名查询请求发送到本地DNS服务器，服务器
将在本地数据库中查找客户机要求的映射。2．如果本地服务器不能在本地找到客户机查
询的信息，将客户机请求发送到根域名DNS服务器。根域名DNS服务器负责解析客户机请
求的根域部分，它将包含下一级域名信息的DNS服务器地址返回给客户机的DNS服务器。3
．客户机的DNS服务器利用根域名服务器解析的地址访问下一级DNS服务器，得到维护再
下一级域名的DNS服务器地址。4．按照上述递归方法逐级接近查找目标，最后在维护有
目标域名的DNS服务器上找到相应的IP地址信息。5．客户机的本地DNS服务器将递归查询
结果返回客户机。6．客户机利用从本地DNS服务器查询得到的IP地址访问目标主机。

在Internet协议的第4版（IPv4）中，我们国家没有设立域名解析的根服务器，所以有关
方面不可能更改根服务器中的DNS数据。如果要使DNS不能正确解释，则需要修改各地ISP
的DNS服务器。DNS数据被修改的域名，DNS将不能正确解释。

由此可见，如果DNS如果指定由国内的DNS服务器解释或由本地的DNS CACHE解释，即使通
过代理访问这些域名，也不可能打开目的网站。如欲访问目的网站，除了直接绕开DNS解
释，使用IP访问外，还可以使用未被修改的DNS服务器。一般来说，不可能全国的DNS服
务器都被修改，相信只是大的ISP的DNS才会被修改，另外如美国在线AOL等世界各大ISP
，都有提供DNS服务器。可以在TCP/IP属性对话框，到“DNS配置”页中启用DNS并使用指
定DNS服务器。

但是有证据表明这种改变不是在各大ISP的DNScache中做的修改，这样的动作太大。我们
看看下面的结果：
> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 202.104.219.142

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 211.101.226.88

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 209.120.157.141

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 211.101.226.88

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 209.120.157.141

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 202.108.250.228

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 211.100.21.30

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 211.100.21.30

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 202.108.250.228

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 216.239.33.100

> www.google.com
Server: ns1.google.com
Address: 216.239.32.10

Non-authoritative answer:
Name: www.google.com
Address: 211.101.226.88

看起来就像是google自己将域名改到各个不同的ip上一样。如果google这样做，只能针
对国内的ip做如下的调整，我们实施采用国外的域名服务器帮帮忙。
我们用sun公司的域名服务器帮助我们解析。
> server ns.sun.com
Default Server:  ns.sun.com
Address:  192.9.9.3

> www.google.com
Server:  ns.sun.com
Address:  192.9.9.3

Non-authoritative answer:
Name:    www.google.com
Address:  216.239.33.100

> www.google.com
Server:  ns.sun.com
Address:  192.9.9.3

Non-authoritative answer:
Name:    www.google.com
Address:  202.104.219.142

> www.google.com
Server:  ns.sun.com
Address:  192.9.9.3

Non-authoritative answer:
Name:    www.google.com
Address:  209.120.157.141

> www.google.com
Server:  ns.sun.com
Address:  192.9.9.3

Non-authoritative answer:
Name:    www.google.com
Address:  211.100.21.30

> www.google.com
Server:  ns.sun.com
Address:  192.9.9.3

Non-authoritative answer:
Name:    www.google.com
Address:  216.239.33.100

至此，我们可以断定不是google为保证www.google.com域名在国内的可用性所作的动作
。
下面我们只能怀疑是政府所为。
如何能做到这一点，最初的想法是政府截获了通往google域名解析器的包，转发该特定
的服务器上，进行特定的域名解析，这一点看看我们通过sun的域名服务器返回的结果就
可以发现，政府并不是这样的做的。
下面一个可行的做法是将所有dns解析的udp包过滤，发现解析的主机名是google，就将
包换掉，这样可以解释上面所有的现象。

由此可见，国安局的技术水准有了很大的提高啊，嗬嗬。

--

※ 来源:．哈工大紫丁香 http://bbs.hit.edu.cn [FROM: 202.118.226.50]
--
※ 修改:·petrel 於 09月11日12:33:58  修改本文·[FROM: NLPCenter.hit.edu.cn]
※ 转载:．哈工大紫丁香 bbs.hit.edu.cn．[FROM: NLPCenter.hit.edu.cn]

ITnews 版 (精华区)