摘要: 域名为什么会被墙?本文将以通俗易懂的方式,解读DNS污染、SNI阻断和IP封锁这三种主要技术机制的原理与区别。
正文:
“墙”的工作原理并非单一手段,而是多层级的过滤系统。
1. DNS污染
这是最传统的方式。当国内用户向DNS服务器请求解析被封锁的域名时,防火墙会冒充目标DNS服务器,返回一个错误的IP地址(通常是无效或指向无关网站)。这样,用户的请求就被引导到了错误的地方,无法访问真实网站。特点是国内外DNS解析结果不同。
2. SNI阻断
随着HTTPS的普及,单纯看IP地址无法识别访问的域名,于是出现了SNI(服务器名称指示)阻断。在TLS握手阶段,客户端会以明文方式发送要访问的域名(SNI信息)。防火墙检测到这个SNI在黑名单里,就会立即中断本次TCP连接。表现为TCP连接被重置(Connection Reset)。
3. IP封锁
这是最彻底的方式。直接封锁服务器的IP地址,所有指向该IP的域名和服务都无法从国内访问。这通常发生在服务器上存在大量违规网站或提供非法服务时。特点是无论换什么域名,只要指向这个IP,都无法访问。
结语: 理解不同机制的原理,有助于我们更精准地诊断问题并选择正确的解决方案,例如DNS污染可通过修改Hosts文件临时解决,而SNI阻断则需要使用ESNI或DoH/DoT等更先进的技术来规避。