Google被封的事实与猜测

2009年6月24日夜晚,从Twitter上传来Google被封的消息,当时我还在地铁上,只能用手机确认,cmwap连接下,www.google.com (以下简称google)无法访问。

回到家后立刻进行了测试,结果如下:

  1. google无法访问
  2. 本地(广州电信)DNS无法解析google域名,返回null
  3. 经过GFW,从国外一DNS也无法得到google的IP,返回也是null
  4. 使用已知的Google IP (74.125.127.160) 直接访问正常
  5. 使用已知的IP修改Hosts文件,google无法访问
  6. 同时,mail.google.com 在ssl连接下访问正常,域名解析正常
  7. 打开VPN后,除了2,其他的都回归正常。并且在百度搜索 www.google.com 被重置连接。

由以上事实可以推断:此次对Google的屏蔽是URL黑名单和DNS投毒并举。

=========== 猜测从这里开始 ===========

此次对Google的封锁是GFW自主学习的结果。
关于GFW的自主学习坊间早有传言,证据之一是经常有流量突增的国外站点被屏蔽掉。
Google原本享受的屏蔽就比较高级,撞墙以后要5分钟才会恢复。此次误封(存疑),一方面是因为六四刚过,GFW的警戒等级尚未调低,另一方面因为CCTV曝光谷歌事件导致原来一部分谷歌的流量转向了Google,加之上Google搜索敏感词的人比率不低,所以Google被GFW自动屏蔽了。
至于说误封,因为在一个小时之内,我从广州电信又能解析到Google的域名,而且可以正常访问。但也不能排除是GFW工作人员手欠或是试探民意。

=========== 猜测到这里结束 ===========

DNS投毒?
DNS投毒和URL或IP黑名单比起来,算是比较新的封锁技术。
通过返回一个TTL长达一天的假IP,该技术可以保证即使在开了代理的情况下,用户仍然无法访问到正确的网站。即便使用openDNS,GFW仍可能伪造解析结果,并且它甚至不需要保证100%成功。因为一般正常的TTL不会太久,Twitter的TTL就只有30秒(可能是平衡负载的需要)。因此,即使你这30秒能访问twitter,也许下次就会收到一个TTL长达一天的假IP。然后你的电脑缓存此结果,正巧,Windows的默认设置最长的TTL也是一天。如果你什么都不做,那么一天以内你就别想登录twitter了。

DNS缓存?
DNS缓存有很多层级的。仅从本机来看,都不是一层那么简单。
Hosts文件可以看成最基础的DNS缓存,只要是在这个文件中记录的域名,系统就不会向网络上的DNS请求解析,因此在这里设置正确的域名解析结果是万无一失的办法,只是十分麻烦。
往上一层是DNS Cache,Vista下可以看到这个服务。重启该服务可以清空DNS缓存,在命令行下进行ipconfig /flushdns 也是一样的效果。
有的应用程序会有自己的DNS缓存,如Firefox的about:config有一项为network.dnsCacheEntries,这个控制缓存的数量,设为零后会清空。(有人反映没有这一项,可以自己新建一个试试。)

实习第几天来着?

大…大…大事件!
从省分行过来的审计组要对我们支行进行全面的审查。
虽说不会审计我的工作啦,端茶送水盛果盘什么的也有办公室的人应付,最重要的一点是,办公网和互联网要严格分离啊!啊!啊!
所以我在那边没法上网了。
原来一直考虑着两网并在一起不会有安全漏洞吗之类的,现在只能望着屏幕吹气……
自古忠孝不能两全安全和便捷不能两全。
不装杀毒软件裸奔是,Vista的UAC是,办公网和互联网分离也是。

今天下午我们部开会研讨应对审计的事宜,经理不知道从哪个地方抄到了审计的底稿,18条问题。
其中有些很有趣。
比如第2条,说某某设备(在此匿去)购买后不知所踪,经理倒苦水说是行长自己拿去用了。
又比如说规定ATM机修理时必须我们部的人员在场,避免被植入木马。想法很好,我们部可不是养一堆闲人。(别看我,我只是个实习的……)
再比如规定远程登录主机必须要行长签字,否则我可以进去偷偷的改掉帐目。这个操作几乎是日常操作,也就是说行长得天天坐在办公室签字才行。另外一点,所谓行长签字不过是个手续,真想捣乱,不过这个手续也是可以的。那路由器和主机的密码我都知道了……(因为我是过去实习的 XD)
还有规定储存介质在报废的时候要清除数据,这个确实很重要的说。但是小哥悄悄告诉我其实是没有的,他们不过是补一个销毁的记录罢了。
诸如此类,诸如此类……

所谓上有政策,下有对策。
嗯,大概就是这样子了。

利用好Vista下的媒体键

我的本本是Dell的Inspriron 6400,当时附带的是XP Home,所以它在XP下的驱动很完善,有个Media Direct建,关机的时候按它会开机进媒体中心,开机的时候会打开媒体中心。

但是后来我换了Vista Ultimate,这个键就完全没有了作用。
一开始有个爱好者专门为此编了一个小程序MCHK.exe,使得Media Direct按钮可以调动Media Center,我用的杀毒软件在某次升级之后,硬是报毒,虽然作者了解到有些杀毒软件会报毒后专门又写了一遍,可是我这个Avast!仍然不放过,因此Media Direct按钮再次宣告作废。

虽然有人放出更加一般的方法,可以藉由某按键监控软件加上一小段脚本完成这个任务。
一来我不知道这个按键监控软件会不会也被杀掉,二来也有点杀鸡用牛刀的意思。
不就是Media Center吗?快捷键多的是:Win+Alt+Enter……

今天终于找到一个完美解决的办法,虽然需要改动注册表,不过比起安装三方软件降低系统效率来说要让人舒服一些。
需要在HKLM\SYSTEM\CurrentControlSet\Control\MobilePC\HotStartButtons\0创立字符串子键,名称为ApplicationPath,键值为希望调用的应用程序的地址。
还需要把HKLM\SYSTEM\ControlSet00?\Control\MobilePC\HotStartButtons\0也一并修改,注意ControlSet可能有001,002,003等多个。
全部修改好以后,重启电脑就可以让Media Direct按键发挥功能了!

Windows Vista Service Pack 1

小白鼠一般都是一些闲得蛋疼的人,于是昨天我升级了Vista的SP1。

首先是下载流出来的一份升级包,是正式版不是RC版本,中文的,有需要者可以在这里下载bt的种子。
在下载这543M独立安装包的时候可以听我讲讲安装的经过。

运行安装包之后,它告诉我系统盘必须有6G空余才能安装。
我只好把一些电影从那边移出来,之后也好比较一下磁盘内复制文件的速度。
在没有安装SP1的时候,复制文件是痛苦的,因为基本上预计时间一直是0,然后整个系统卡得让你没法做其他任何事情。
清出空间后开始安装,它又告诉我安装可能持续一个小时或更久,并且会多次重启。
我在23:30开始安装,到零点时失去耐心,在1:00左右听到系统重启的声音,过去一看,还在安装。再看的时候已经是第二天早上了。
所以我不知道它具体安装了多久,不过真的比一个小时要久。
于是我装好了SP1。

vista sp1.JPG

然后是把移出去的电影再移回来,预计时间有了显示,系统也不是完全卡死,还能开个记事本啊之类的。看起来还是有性能提升的。

所以结论呢:SP1对于性能的提升比较明显,但前提是原版Vista的性能实在是烂到掉渣。
如果对性能有较高要求,还是XP比较合适……

Vista下ARP绑定的Bug

今天早上受到了ARP攻击,按照传统方法进行网关的MAC地址绑定的时候却总是提示“ARP 项添加失败: 5”的错误。

后来终于找到了问题的原因,并不是权限的问题,而是Vista中的这个arp.exe程序不能对已有的动态地址绑定为静态地址,这应该算是一个Bug。
这个Bug的解决办法就是,使用另一个程序来进行MAC绑定。
在有管理员权限的命令提示符下面输入这样的命令:

netsh -c “interface ipv4” add neighbors “本地连接” “网关的ip地址” “网关的MAC地址”

其中“本地连接”是你登录网络的名字,可以用ipconfig查看。(默认为本地连接)

这里有篇文章反映了Windows Server 2008下的相同问题,毫无疑问的,它和Vista使用的是相同的内核。

微软, ARP, bug, MAC, IP, Vista, netsh, Windows