DC: 最近很多听众都受到中国当局的DNS污染困扰,令翻墙出问题,因而来信向本台求助。面对中国当局的连串DNS污染攻击,中国网民应该如何自处?

李:中国政府搞DNS污染并非第一天的事,因此,其实早已经有不少工具去解决这个问题。现时面对DNS污染问题有两个解决方案,一个方案是使用DNS Forwarder的程式,在自己的电脑建立一个DNS代理主机,浏览器的域名查询经这个程式由UDP信息包,转化成不易污染的TCP信息包,再去查询谷歌或其他国际上可靠的DNS主机。这种方法好处是可以继续沿用其他翻墙方案,因为中国当局很难对TCP信息包上下其手。但由于这个方法涉及不少电脑指令,既不能用于手机或平板电脑上,亦对缺乏技术根底的用户有困难。因此,在这集就比较难介绍这种方法。

另一种方法,那是先洗去机内的DNS快取,然后再利用VPN,将所有通讯经VPN走,并且设定VPN公司提供DNS处理询名查询。在Android和iOS,系统会定期自动清理DNS快取,可以在熄机后再执行VPN,就可以解决DNS污染的问题。

至于Windows,可以在执行VPN前,在命令模式执行「ipconfig /flushdns」的指令,就会将系统内所有DNS快取消除,之后再执行VPN,那就会依照VPN的设定执行DNS。这个是现时翻墙民众,比较容易避免DNS污染的方法。

只不过,以上方法要有效,都基于一个前提,那是你的电脑未染有任何支持中国政府黑客所写的木马,或没有装中国公司推出的防毒软件。如果你的电脑有病毒或木马,或你用了中国公司推出的防毒软件,那你无论怎努力,都避免不了DNS污染的问题。因此,不要乱装有问题的软件,乱开来历不明的电邮附件,以及使用中国公司推出的防毒软件,亦是相当重要的。

DC:近日与OpenSSL有关的保安漏洞好像越来越多,OpenSSL最近又被揭发有多个保安漏洞,那这次保安漏洞,又会否像Heartbleed一样造成广泛的恶劣影响,危害网络安全?

李:虽然这次OpenSSL发现漏洞多,遍及的版本亦比Heartbleed那次多,但恶劣影响反而没上次严重,因为这次各方面都严阵以待,OpenSSL亦获赞助一笔经费,聘请全职程式编写人员和保安专家解决漏洞,只要将OpenSSL更新到最新版本,就应该问题不大。

要避免中国当局利用OpenSSL保安漏洞偷你的资料,尽快更新软件十分重要。而由于OpenSSL长期以来潜藏的漏洞,可能未能够在短时间内完全找出来,可能在短期内,仍然会有OpenSSL相关漏洞被发现,需要各方人马紧急维修。而现时市面流行的浏览器,包括Safari、Google Chrome、Firefox和IE,都采用软件公司自行设计的SSL程式设计,相信这点会令不少听众感到较为安全一些。

由于OpenSSL的漏洞,会影响VPN的安全性,而很多VPN服务供应商都因使用Linux,而难免在提供VPN服务时,需要使用OpenSSL加以配合,因此有租用VPN服务的听众,应查询VPN服务供应商有关OpenSSL的影响,避免自己翻墙时受到OpenSSL漏洞影响,仍然懵然不知。

http://www.rfa.org/cantonese/firewall_features/firewall-DNS-poisoning-06132014090242.html?encoding=simplified

翻墙技术博客订阅地址及社交帐号