2012年1月15日星期日

使用NAT64和DNS64技术翻墙

NAT64技术提供了IPv6主机访问IPv4服务器的一种途径。如果你的网络支持IPv6(无论是原生还是通过隧道等方法接入),可以使用该技术翻墙。
DNS64技术提供了一种方法,当客户端向DNS服务器查询一个域名的AAAA类型(IPv6)记录,但是只找到A类型(IPv4)的记录时,可以通过A类型的记录生成一个AAAA类型的记录。可以在DNS64服务器查询被GFW墙了的域名,得到一个IPv6地址,通过该IPv6地址可以访问到被GFW墙了的域名对应的IPv4地址,似乎只支持TCP、UDP、ICMP协议,不过这完全足够我们翻墙了。


这里提供一个DNS64服务器IP地址:2001:778::37
在Windows下使用nslookup命令查询DNS就可以了,想必大家看一下下图就知道怎么使用了。查询出的IPv6地址使用NAT64技术来映射对应的IPv4地址。由于一般我们使用的IPv6网络都是IPv6和IPv4双栈的,所以我建议只把需要翻墙的域名对应的IPv6地址写在hosts文件中,一般不直接使用DNS64服务。hosts文件写法见我以前的文章。

想必一些朋友已经看出来了,解析出来的IPv6地址最后两段对应的是IPv4地址写成十六进制。如果你想访问的IPv4地址被GFW墙了,可以把你想访问的IPv4地址换算一下,替换上面解析出的结果(IPv6)的最后2段。如199.59.148.12,199写成十六进制是c7;59写成十六进制是3b;148十六进制是94;12十六进制表示是0c。

如果你的网络支持IPv6,此方法可以算的上是一翻墙利器~!没有原生IPv6支持的朋友可以通过隧道接入IPv6,如isatap、6to4、Teredo都是主流的隧道技术,接入方法网上都可以搜索到。



20120115第一版    转载请注明出处zhangxin1989.blogspot.com



2011年6月10日星期五

提供两枚在中国没有受到线路劣化的Google在墙外的IP地址

212.154.168.243#哈萨克斯坦
155.232.240.19#南非

2014.07.16新增195.13.189.45


如何使用可以看我以前的文章。

2011年4月14日星期四

当Google被屏蔽时,我该怎么做?

       Google被屏蔽时,最简单的方法就是使用百度。不过如果你的解决办法是使用百度的话请关闭这个页面,后面的内容你可以不看了,因为你的问题已经解决了。

       解决Google被屏蔽,有两条很重要的东西你需要知道:1、几乎所有的Google的服务都可以通过一个Google服务器的IP地址来进行访问;2、每一个Google服务器都可以作为http代理来访问几乎所有的Google服务。

       对于GFW屏蔽Google的方法最好也了解一些:1、URL关键字连接重置;2、DNS污染;3、特定IP特定端口TCP连接重置;4、封IP(包括网络劣化)。

       对于URL关键字连接重置,我们可以采取的措施是使用https协议来访问Google,https协议会对数据进行加密,GFW无法检测到关键字,Google的很多服务都支持https访问。比如http://picasaweb.google.com/无法直接访问,但是我们可以访问https://picasaweb.google.com/

       DNS污染解决也很简单,在hosts文件里加入被屏蔽域名的IP地址即可,可以参见我以前的文章。对于特定IP特定端口TCP连接重置,也可以使用修改hosts的方法,在hosts文件中加入没有被特定端口TCP连接重置的Google服务器IP地址。封IP则可以在hosts里加入没有被封IP的Google服务器IP地址。Windows Vista 开始支持服务器名称指示,允许一个IP地址上多个域名安装多张证书,一般不会报https证书错误。Windows XP 下IE可能不支持这项技术。Firefox支持服务器名称指示,一般不会提示https证书错误。

       Google虽然退出中国了,但是Google在中国的服务器并没有完全搬走,我们照样可以利用Google在中国的服务器做代理来访问Google的服务

       另外还要唠叨一下,GAE Proxy是使用Base64算法来加密URL的,且在访问https网站时相当于进行了中间人攻击(MITM),Base64防君子不防小人,是很容易解密的,如果有人想监控你访问的内容还是可以的。使用GAE Proxy的同学请使用https协议来连接GAE,GAE的URL要以https开头如https://*.appspot.com/fetch.php,不过使用https连接可能会遇到TCP连接重置。


2014.07.16 本文内容依然适用

2011年3月28日星期一

不得不面对的现实,Google正在离我们远去

        不知不觉google离开中国已经有一年了。最近几天,google修改了google.cn的dns记录,已经不指向google在北京的数据中心了,这意味着你访问谷歌音乐也可能被墙,我不知道这是为什么,或许是出于成本的考虑,毕竟维护一个数据中心的花费不菲。随着google把google.cn指向国外的服务器,很多以前使用google.cn作为代理来使用google的用户(包括GAE)已经无法绕开GFW了,不过现在google在中国的数据中心还在运行,我们仍可使用ip地址(203.208.37.104、203.208.37.99、203.208.39.99、203.208.39.104、203.208.37.132、203.208.39.132)来进行连接,但是对于能用多久我表示担忧。
         从今年年初中国政府对google的某些https服务的干扰开始,我就认识到这是google正在离我们远去的信号,更令人愤怒的是中国政府居然不承认这是它们干的并把责任推给google。也许你可以使用各种手段方法来继续使用你的google服务,但无可否认的是google已经在离开主流用户群了。说的悲观一点,这是我们无法改变的现实,我们的政府不喜欢google给google穿小鞋然后对民众说谎,在这场对抗中中国政府虽然在道德上占了下风,可以说是完败吧,但是它的目的达到了,我们对抗不过它,我们也没本钱对抗它。

2011年3月23日星期三

发现一个利用MHTML 0day漏洞盗取gmail账户的案例,请大家注意

最近看到有人声称说MHTML 0day漏洞被利用盗取gmail账户,并给出了地址,我大概看了一下。

http[危险]://www.solidaritycenter.org/files/India.html就是钓鱼页面的地址,这么网页里面有一段javascript代码,利用漏洞劫持cookie,还有一段使用base64加密的javascript文件地址,解码后是http://www.solidaritycenter.org/files/India.js,India.js会把你的Gmail邮件转发给tk9652320@gmail.com并在浏览器中建立一个iframe,iframe内容的中文版在这里http[危险]://www.solidaritycenter.org/files/Indo-cn.html,里面是一个gmail的登录页面,这就是钓鱼页面,会把你的gmail账号密码以post方式发给http://www.solidaritycenter.org/files/IndoTraffickingAppendices.asp,然后再把你转向真正的Gmail页面。

目前微软还没有给出补丁,建议大家暂时不要使用IE浏览器以及IE内核浏览器(如360、TT、遨游等)登录Gmail。

我把相关页面打包起来了,点击下载。不建议使用使用浏览器直接打开,否则后果自负。出于安全性考虑我给压缩包加了密码,密码是virus

2011年3月13日星期日

近期Gmail访问不稳定的临时解决办法

Gmail最近访问不稳定的原因是电信运营商在随机丢弃和Gmail服务器通信的数据包,手法和阻止https://www.google.com/的访问是一样的。好在Google的服务器很多,通过Google的任意一个服务器就能访问到Google几乎所有的服务。最近观察发现,不是所有的Google服务器都遭到了被随机丢弃数据包的待遇,我们可以通过这些服务器来访问Gmail等Google提供的服务。解决的方法还是老办法,修改hosts。

向hosts加入以下内容:
#一般hosts文件在Windows下位于c:\windows\system32\drivers\etc\hosts。Linux下位于/etc/hosts
66.249.89.91 mail.google.com
74.125.79.109 pop.gmail.com
74.125.79.109 smtp.gmail.com
66.249.89.91 encrypted.google.com
66.249.89.91 www.google.com
66.249.89.46 www.google.com.hk
72.14.203.91 docs.google.com
72.14.203.93 encrypted-tbn0.google.com
72.14.203.93 encrypted-tbn1.google.com
72.14.203.93 encrypted-tbn2.google.com
72.14.203.93 encrypted-tbn3.google.com


2010.06.04更新hosts(建议只在中国大陆使用)
2012.07.31测试仍可用


203.208.46.146 www.google.com
203.208.46.147 www.google.com.hk
203.208.46.132 clients1.google.com
203.208.46.149 mail.google.com
203.208.46.161 chatenabled.mail.google.com
203.208.46.161 mail-attachment.googleusercontent.com   #XP下的IE可能会有错误证书提示,Vista以上或Firefox浏览器不会出现此现象
203.208.46.146 id.google.com
203.208.46.146 encrypted.google.com
203.208.46.161 encrypted-tbn0.google.com
203.208.46.162 encrypted-tbn1.google.com
203.208.46.163 encrypted-tbn2.google.com
203.208.46.164 encrypted-tbn3.google.com
203.208.46.132 webcache.googleusercontent.com #XP下IE https连接可能会有证书错误提示
203.208.46.191 ssl.gstatic.com
203.208.46.161 docs.google.com
203.208.46.157 0.docs.google.com
203.208.46.157 1.docs.google.com

2011年3月5日星期六

Google https无法访问的暂时解决办法

        这几天Google的https服务总是被封锁,例如Google Reader,封锁手法好像是443端口的TCP数据包被丢弃。有网友说丢弃数据包是分时间段的,位于韩国(74.125.153.113)的Google IP服务器的SSL规律是每个小时的00-19,30-49分可用,20-29,50-59分不可用。如果是GFW干的,这种封锁方法GFW以前从没有用过的,这意味着GFW进行了升级。

        现在对抗这种封锁手法只能是换用Google的其他没有被墙IP地址了,大家可以试试把别的Google ip地址(如66.249.89.93)和www.google.com在hosts文件里绑定在一起。

题外话:如果GFW开始丢弃特定端口的数据包,那么就意味着GFW对我们来说不再隐形,很容易探测出他在网络中所处的位置。另外发现一个很有意思的现象,当某个google的ip地址443端口(https)数据包被丢弃时,tracert有17调,没有丢弃数据包现象时tracert有16跳。