来源李老师: https://x.com/whyyoutouzhele/status/2049056023437262866
网友投稿:中国“防火长城”可能正对全国范围内的整个 .icu 顶级域名进行 DNS 污染
近日,有多方技术社区与用户反馈称,中国大陆地区对“.icu”顶级域名的访问出现异常,部分网站无法正常解析或连接。
据多名用户测试,在访问“.icu”域名时,解析结果出现异常偏差。有技术分析指出,这类现象可能并非针对单一网站的常规封锁,而疑似发生在顶级域名权威名称服务器层面,从而对整个“.icu”域名体系产生影响。
后续:
已恢复
个人评语:
印象里是第一次污染顶级域名,这一批的 GFW 维护人员非常激进,方滨兴那时候没这么干的,GFW维护者换人了还是换成AI了?
当然还有域名被污染怎么判断又是一个值得展开细聊的话题,等我写《冲浪小本本儿》
方滨兴2014年无差别污染所有域名。
动态网公司在2014年2月发布报告,认为此次事件是由于“DNS劫持系统”(防火长城),在黑名单中的一行空字符串导致其匹配到、并劫持所有的域名,并将失误原因归结为“在一个文本文件中,最后加一个空行很难看得出来”。他们也承认IP地址
65.49.2.178是他们用来运行自由门相关服务的,当事件发生时,并没有网站在这个IP运行
也就是说那一次对所有顶级域名污染是操作失误,而这一次污染 .icu 是非常明显与‘躺平’关联,是刻意的
不过还是感谢让我记起这事了
现在再回头看wiki 对这一事件收集的当时各路媒体报道资料也很有意思
环球时报不懂技术也要当好党的肉喇叭
https://web.archive.org/web/20221217152305/https://world.huanqiu.com/article/9CaKrnJE3Rj
为什么攻击只发生在中国
21日的网络事件再次给人们敲响警钟。人们不禁要问,在全球互联网出现大面积瘫痪、或者中国互联网国际出口堵塞等少数极端情况下,中国互联网应该怎么办?对此,有人呼吁建立自己的根服务器。有分析认为,13个根服务器的全球布局是和欧美信息化布局相关的。目前唯一的主根服务器在美国,其他的12个服务器都是辅助美国的这个主根服务器。要改变这个布局,建立第14个根服务器需要权威机构来通过,这只能通过国际合作和协商来实现,因为增一个根服务器,涉及到信息流如何分配等一系列的问题。
wiki :
由于环球时报误用标题,大量报告认为CNCERT称中国的根服务器遭到袭击。实际上中国不控制任何根服务器,环球时报文内提到“根服务器”只是为了宣传替代性DNS根的想法。[13]羊城晚报[12]对此事的报导也提到了根服务器不受国内控制的“问题”,但未使用错误标题。至于所谓“通用顶级域的根”(在羊城晚报[12]和CNNIC写给彭博社的回应[14]中提到),正确的说法是“通用顶级域的权威名称服务器(authoritative name server)”
彭博社报道:
https://web.archive.org/web/20140402110152/http://www.bloomberg.com/news/2014-01-23/china-internet-outage-caused-by-cyber-attack-government-says.html
中国发生的互联网中断事件导致数亿人无法访问网络,这可能是政府网络管控措施变更的意外后果。
据网络安全提供商奇虎360技术有限公司(QIHU)称,1月21日,中国超过三分之二的网络流量中断,该国拥有超过6.18亿互联网用户。受影响的网站包括阿里巴巴集团和百度公司(BIDU)的网站。中国方面表示,黑客可能是罪魁祸首。
监控互联网审查内容的组织Greatfire.org表示,他们有证据表明此次网络中断是由中国的审查网络造成的。该组织在其网站上发表声明称,此次中断可能是黑客攻击、试图封锁互联网协议地址或审查机构添加新规则以升级其控制措施所致。
中国经常审查互联网,屏蔽批评共产党统治的网站。例如,Twitter、Facebook 和 YouTube 等网站在中国都无法访问。中国国家计算机网络应急响应中心昨日在其网站上发表声明称,初步判断此次网络中断是由网络攻击造成的。
动态网技术分析:
https://web.archive.org/web/20141020193818/http://www.dit-inc.us/node/123.html
在家里演示DNS劫持
2014年1月21日放生在中国的大规模网站断网事件大部分已经恢复正常了。但是DNS劫持仍在持续中。我们可以通过被劫持的网站,了解一下断网时的情形。
2002年,DIT列出12个域名被劫持的网站。时至今日,其中7个仍然域名被劫持。这7个网站如下:
www.renminbao.com
www.bignews.org
www.minghui.org
www.kanzhongguo.com
www.peacehall.com
www.epochtimes.com
www.tibet.net如果你可以操作一个位于中国的电脑。在Linux操作系统下,可以打这个指令:
host -t A epochtimes.com.dwlc 8.8.8.1你会得到一个类似这样的回答:
epochtimes.com.dwlc has address 203.98.7.65这个返回的IP地址是错误的,原因如下:
1)8.8.8.1 并不是一个DNS服务器。如果你在一台美国的电脑打这个指令,返回的是超时错误。
2)epochtimes.com.dwlc 并不是一个有效的域名。DNS服务器应该回答说“找不到”而不是返回一个IP地址。这个回答一定是来自长城防火墙的DNS劫持系统。
在Windows操作系统下做这个测试,可以打这个指令:
nslookup epochtimes.com.dwlc 8.8.8.1据我们观察,DNS劫持系统可能会返回过几个不同的IP地址。这是我们收集到的一些IP地址:
159.106.121.75
203.98.7.65
243.185.187.39
37.61.54.158
46.82.174.68
59.24.3.173
78.16.49.15
8.7.198.45
93.46.8.89这个列表会慢慢的变化,有时不同的ISP返回不同的IP地址。
以上这个测试暴露了DNS劫持系统的一个漏洞。它会匹配”epochtimes.com”这个字符串。如果找不到"epochtimes.com”,就不会返回假IP地址。如果域名中包括"epochtimes.com”,比如”epochtimes.com.cn“,这个域名也会被劫持。
如果DNS劫持系统的黑名单中有一个空的字符串,所有的域名都会被劫持。这就是2014年1月21日发生的事情。
可以理解,在一个文本文件中,最后加一个空行很难看得出来。
方滨兴时期对域名的污染是非常精细的,举个例子
www.naver.com 打开后并不只有这一个域名,还需要 https://ssl.pstatic.net/sstatic/search/pc/css/sp_autocomplete_8964.css css文件,也就是 ssl.pstatic.net 域名
https://pm.pstatic.net/resources/js/main.xijinping.js js文件, 也就是 pm.pstatic.net 域名
对 www.naver.com 域名没有进行污染,但是对 pstatic.net 等域名进行污染,这就导致访问 www.naver.com 是可以的,但实际上是无法使用的
有时甚至会精细到对三级域名污染管控,例如对 ssl.pstatic.net不污染, 对pm.pstatic.net 污染
即便是不精细化DNS污染,按方滨兴时期惯例,一般也都是封二级域名,也就是例如 xijinping.icu ,但这一次直接对 .icu 污染,非常不符合惯例
补充来源: https://t.me/vps_xhq/797
使用.icu域名的网站在中国大陆出现连接问题
来自VPS主要论坛和群组的消息称,今天下午开始,中国大陆所有对*.icu域名网站的访问均被重置,域名无法正确解析。怀疑 GFW 正在对.icu顶级域名实施基于 SNI 的通配符连接重置以及泛域名 DNS 污染。
据Store and Forward的分析,本次行动中.icu注册局自身的权威名称服务器受到了干扰,GFW投毒底层 DNS 基础设施,会在TLD的整个DNS基础设施中传播,不仅会影响目标用户,还会影响缓存服务器,因此它会导致境内合法备案的网站也无法正确解析。
由于今日国家安全部发布了反对境外反华敌对势力渲染“努力无用”“奋斗吃亏”等消极观念的文章,因此有讨论认为本次封锁可能是中国“反躺平”行动的一部分。
个人评语:
不仅是 DNS 污染,还有 SNI阻断吗
这一次 gfw.report 怎么还没有出一份实验报告,他们家文章含金量还是很高的
并不精细。你可以看看 GFWatch 研究 4.1 匹配规则类型。甚至有 *.selfip.net* 这种前缀匹配规则的(文中的 Rule 6 {rnd_str.}censored_domain{rnd_str})。以下域名都会被劫持,是没有必要的。
https://gfwatch.org 数据导出谷歌云盘链接下线了,不然可以检查各规则都有什么域名。
我倒是不觉得这是故意不污染。就是有支猪的举报 URL 里,比如举报一个图片,大文件一般不会在主域名上,是会在 pstatic.net 上,所以就封了这个。
一般站点的 HTML 内容域和大文件都是分开的。比如 pornhub.com 被封锁,但是实际视频域名比如 ei.phncdn.com, ew.phncdn.com, ss.phncdn.com 没有被封。
匹配规则是一回事,用不用是另一回事。如果 rule 0 的域名数量足够多,就是全匹配的多,精细化程度高
