Dns on 水源一二三

有效避免 GFW 的 DNS poisoning

Fri, 20 Aug 2021 07:41:14 +0000

在這篇 Tweet 看到有趣的 Paper How Great is the Great Firewall? Measuring China’s DNS Censorship，透過在美國及中國的實驗找出 censored domains，進而實作出可以有效避免 GFW DNS poisoning 的方式。

GFW 是 on-path injector，並且不會丟棄或修改由 resolver 或是 authoritative name server 的回覆。因此只有在路徑上會經過 GFW 時才會觀察到此行為，例如日本客戶端透過中國 resolver 查詢 www.google.com。

GFW 會偽造不合理的 IPv4/IPv6 地址，並且因為 GFW 離客戶端更近，客戶端通常會更快地收到來自 GFW 的回覆並採用。舉例來說：


// 中國聯通的 DNS resolver
// 解析 Google 網站回傳的 IP 地址卻指向 Microsoft 的網站

$ dig www.google.com @202.102.224.68 +short
173.244.217.42

Paper 裡面定義了 GFW overblocking 的行為，例如 torproject.org 是 censored domain，但 mentorproject.org 卻也一併被污染。

Sun, 22 Sep 2019 10:10:00 +0000

TL;DR 找到想要的網址後，記得多在幾間域名註冊商比較後再買。

首先要先看想要哪一種域名，例如很流行的 .cc、在地愛台灣的 .tw [1] 或是萬用型的 .com, .net 等等。

接著就找一間域名註冊商 registrar 來找找看想要的網址是否還可以申請，這時候就可以多看幾間，我自己曾買過網域的有 GoDaddy、Gandi.net、namecheap 以及 Amazon Route 53。

我最近一次要註冊 .com 及 .net 域名時才發現價格的差異還滿大的。舉例來說 .net 在 GoDaddy 第一年特價都要美金 $14.88，原價則要美金 $21.88，而從沒促銷策略的 Amazon Route 53 .net 的原價就是美金 $11。

因為我通常只有想要域名不需要其他附加功能，因此決定性的因素只有價格，所以就把網址在各大註冊商搜尋過一遍然後在那邊買即可。

[1] 曾在 2018 年夏天推出「泛用型網域名稱銅板價專案」，第一年只要新台幣 $50。