找回密码
 FreeOZ用户注册
查看: 1310|回复: 0
打印 上一主题 下一主题

[其他] 今夜无人入眠

[复制链接]
跳转到指定楼层
1#
发表于 9-5-2010 20:53:52 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?FreeOZ用户注册

x
[size=10.8333px]
by (author unknown)



Shared by joojen
窃喜,从根源上进行技术升级


北京时间今晚午夜,全球十三个根域名服务器的最后一台将完成 DNSSEC 部署。想要知道这是在干什么,先学习一下什么叫做“地址投毒”,这里还有这里。我来换个通俗的说法:

你的地址本(hosts file)容量有限,手工更新也麻烦,去不认识的地方你常需要问别人。你可以问本村的村长(DNS provided by ISP),村长有私心,他知道但不一定告诉你。比方说你要问他信访办的地址他肯定不能告诉你 —— 他干的亏心事太多,怕你检举他呀。于是你试着问村外的人(OpenDNS, Google DNS, etc.)。但你和别人所有的谈话村长都在一旁偷听,不光偷听,在还总抢在别人回答前冒充对方给你个错误的地址。

如何证明村长在偷听?用这篇文章给出的方法,我们来作个简单的实验。打开一个命令行窗口,把下面的命令执行多次:

nslookup -type=A www.youtube.com 129.42.17.103

“129.42.17.103” 是一个不存在的 DNS 服务器(可以把这个地址换成一个其它同样没有 DNS 服务的 IP 地址,效果是一样的)。在墙外执行这个语句不会有返回,而在墙里不但有返回,而且每次的结果还不一样。

www.youtube.com” 是一个村长不想让你知道地址,不管你问谁这个地址在哪儿,哪怕去问一条狗,心虚的村长都会在对方答话前抢答。鉴于你问的是一条傻狗,正常结果应该是它根本不理你。而现在,你刚问完话,就听见狗叫,你再问同样的问题,狗又叫但叫声和上次不同。至此可以断定,叫声不是来自你问的那条狗,而是村长在学狗叫。而如果把以上命令里的敏感地址换成比如 “www.sina.com.cn” 这样村长认为安全的地址,这回村长就不叫了(当然傻狗也不会回答你)。

DNSSEC 的工作就是要给村长冒充别人说话制造一点困难。接下来根服务器以下的 DNS 服务器也会引入这一技术,用户要做的事就是找一台墙外的 DNS 服务器,设好 IPSEC 和 CA 认证。步骤比较麻烦,不同操作系统方法也不一样,相信不久就会有图文攻略出炉,跟着做就是。

村长那边的最新动向:只许我学狗叫鸡叫,村民放个屁都要实名制。以便必要时可按“泄漏机密”或“危害安全”罪给放屁者以惩治。

村中屁民对此条令的反应大概是 ————



翻去年春夏之交的饭否记录,热词之一是“绿坝”,那个夏天没过完,饭否就没了。道消魔长,情况一天比一天糟,但我们总算守住了一城,不是么?



回复  

使用道具 举报

您需要登录后才可以回帖 登录 | FreeOZ用户注册

本版积分规则

小黑屋|手机版|Archiver|FreeOZ论坛

GMT+11, 4-12-2024 18:00 , Processed in 0.029632 second(s), 17 queries , Gzip On, Redis On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表