假墙、真墙、DNS污染、127.0.0.1等各种现象产生和转换的原因总结

2022-10-11 17:05:38 安全咨询 0 1917

关于假墙：谣言：网上说法很多，但是基本都是小学生言论：什么数据返回，什么搜索非法词，都纯属扯淡，说出这种话的，要么是不懂装懂，要么是骗钱的。辟谣：假墙与域名无关，不针对域名；假墙的实现原理如下：

1、关于假墙：

谣言：网上说法很多，但是基本都是小学生言论：什么数据返回，什么搜索非法词，都纯属扯淡，说出这种话的，要么是不懂装懂，要么是骗钱的。

辟谣：假墙与域名无关，不针对域名；假墙的实现原理如下：使用一个被墙的小众域名（该域名https协议可用，http直接被墙reset）直接解析到你的服务器IP（或CNAME等）,然后大量关键词+请求，来触发IP被临时封禁，都没有过你的域名，跟你的域名毫无关系。

解决方案：

备案+国内 = 完全解决

完全禁用80端口，只提供https访问或者特殊端口访问 = 保留已有本地缓存的用户访问和搜索引擎收录https的地址的访问

封堵发包服务器 + 更换IP = 部分解决

总结：方案只有这几个，其他任何方案都是瞎扯淡，任何建站程序上带的什么假墙防御都是毫无作用的。

2、关于真墙：

谣言：假墙一段时间就会转真墙；这个说法也是完全的脑残言论，可信度为零

辟谣：网站违规词，有搜索返回，列表返回数据等，是可以被利用来触发真墙的，是可以达到7-15天来真墙一个网站的。实现原理：通过大量且长期持续请求网站的搜索，或者是其他带有违规关键词的页面 + 重要：伪造大量违规来路地址，可以在半个月左右来触发真墙，导致域名被墙。

解决方案：

备案+国内 = 完全解决

过滤参数 = 基本解决

总结：假墙是针对IP，连你的域名都没有碰到，虽然你的域名也解析到了被假墙的IP上，但是相对于攻击的量，你自己解析的量太小了，还没资格去触发真墙；真墙的触发绝对是有实质性的内容，真墙的触发是一个概率性问题，过滤参数这些是可以起到一定的作用，但是是无法绝对保证的，就算是国外的没内容的个人博客都可能莫名其妙被真墙，谁能保证呢？

3、关于DNS污染：

谣言：DNS有真污染和假污染，假污染换国内DNS就行。

辟谣：DNS污染只有污染和没污染，没有真假这一说。

DNS污染常见的触发：

域名一开始使用http服务，但是被墙后转换为https继续提供服务，这样会很快被污染

域名使用了https服务且已达到被墙的标准后会直接转换为dns污染

在通过域名与国内交互数据时，数据中有明文的被墙域名（大概率）或者其他违规信息，会直接被认定为这个域名在提供特殊服务，可能会导致污染

总结：我们一般认为DNS污染是墙的最高级别，只有在低级别干预无法完全封禁这个域名下的服务的时候才会启用DNS污染，这也是HTTPS的网站为什么一般不会被墙，而一墙就是DNS污染的原因，DNS一旦污染，就会解析到各种乱七八糟的的IP上，不会说统一的解析到某一个IP上，DNS污染后，可以通过抢答的方式去清洗，但是成功率是很低的，能保留个20%的访问就是奇迹了；但是DNS被污染不建议去做任何操作，不然那日子可能有得判了。