来源:蜘蛛抓取(WebSpider)
时间:2017-09-29 19:08
标签:
潘多拉系统登录
DNS放大攻击:潘多拉魔盒已被打开--《中国教育网络》2013年05期
DNS放大攻击:潘多拉魔盒已被打开
【摘要】:正3月底发生了互联网有史以来最大的300G DDoS攻击事件。此次黑客利用了DNS放大攻击(DNS Amplifica-tion attack,也叫反射攻击)技术,这种攻击方式其实由来已久,早在2002年就已引起研究人员的关注,但是造成这么大的攻击流量还是首次被发现。由于这种攻击模式成本低,效果好,追踪溯源困难,而且由于脆弱的DNS体系具有开放式特点,难以彻底杜绝。潘多拉魔盒已经
【作者单位】:
【关键词】:
【分类号】:TP393.08;F49【正文快照】:
3月底发生了互联网有史以来最大的300G DDoS攻击事件。此次黑客利用了DNS放大攻击(DNS Amplifica-tion attack,也叫反射攻击)技术,这种攻击方式其实由来已久,早在2002年就已引起研究人员的关注,但是造成这么大的攻击流量还是首次被发现。由于这种攻击模式成本低,效果好,追踪
欢迎:、、)
支持CAJ、PDF文件格式,仅支持PDF格式
【相似文献】
中国期刊全文数据库
王建军;陈劲松;;[J];大众科技;2007年03期
;[J];电子与电脑;2008年11期
王显苏;;[J];现代商贸工业;2009年05期
吴刚;[J];计算机时代;2005年09期
刘亦功;;[J];中国有线电视;2006年13期
刘亦功;;[J];广播与电视技术;2007年04期
刘亦功;;[J];有线电视技术;2006年11期
闫实;付佳;金松根;;[J];医学信息学杂志;2011年05期
华山;;[J];电信技术;2009年03期
刘云志;;[J];河南科技;2011年08期
中国重要会议论文全文数据库
王四新;李丹林;;[A];全球信息化时代的华人传播研究:力量汇聚与学术创新——2003中国传播学论坛暨CAC/CCA中华传播学术研讨会论文集(下册)[C];2004年
朱肇中;;[A];2003年中国智能自动化会议论文集(下册)[C];2003年
郑晓博;汤筠;杨士强;;[A];第一届建立和谐人机环境联合学术会议(HHME2005)论文集[C];2005年
刘威;;[A];全国计算机安全学术交流会论文集(第二十四卷)[C];2009年
诸葛建伟;韩心慧;叶志远;邹维;;[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
李宏利;雷雳;王争艳;;[A];第九届全国心理学学术会议文摘选集[C];2001年
梁涛;;[A];广东省通信学会2006年度学术论文集[C];2007年
康丽君;;[A];2008年第四届中国科技期刊发展论坛论文集[C];2008年
于福洋;李朝旭;李颖;;[A];中国社会心理学会2008年全国学术大会论文摘要集[C];2008年
贺宁武;孙志刚;;[A];中国电子学会第十六届信息论学术年会论文集[C];2009年
中国重要报纸全文数据库
电脑商报记者
李波;[N];电脑商报;2009年
张琦 那罡;[N];中国计算机报;2008年
佚名;[N];网络世界;2007年
;[N];人民邮电;2008年
金朝力;[N];北京商报;2008年
编译;[N];电脑报;2005年
余九女;[N];电脑报;2005年
;[N];网络世界;2006年
江源;[N];中国财经报;2008年
边歆;[N];网络世界;2010年
中国博士学位论文全文数据库
龙宇;[D];上海交通大学;2007年
柴震川;[D];上海交通大学;2007年
迟嘉昱;[D];华中科技大学;2004年
李目海;[D];华东师范大学;2010年
陈共德;[D];中国社会科学院研究生院;2002年
王垚;[D];哈尔滨工业大学;2007年
商建伟;[D];山东大学;2007年
董平;[D];北京交通大学;2008年
曹首峰;[D];北京邮电大学;2010年
柳秀梅;[D];东北大学 ;2009年
中国硕士学位论文全文数据库
宋瑛桥;[D];北京交通大学;2007年
李海琳;[D];贵州大学;2006年
鄢娟;[D];华中科技大学;2004年
张延文;[D];郑州大学;2006年
周小平;[D];山东大学;2008年
张绍杰;[D];上海交通大学;2007年
刘捷;[D];北京邮电大学;2009年
张剑;[D];江苏大学;2003年
张泽;[D];北京工业大学;2000年
彭孝松;[D];浙江大学;2003年
&快捷付款方式
&订购知网充值卡
400-819-9993
《中国学术期刊(光盘版)》电子杂志社有限公司
同方知网数字出版技术股份有限公司
地址:北京清华大学 84-48信箱 大众知识服务
出版物经营许可证 新出发京批字第直0595号
订购热线:400-819-82499
服务热线:010--
在线咨询:
传真:010-
京公网安备75号小米路由器mini折腾之自动翻墙篇 - 老高的技术博客
时间: January 4, 2015
本文目录 []
感谢@Question提醒
刷完系统后配置好chinadns后,将wan6接口的协议切换成6to4协议,保存后可直连 ,貌似DNS污染也一并解决了,但是不知为何直连速度不快,不如走SS。
shadowsocks
shadowsocks是目前扶墙利器,原理是通过一台自由的服务器做sock5代理,将你的请求都转发到服务器,服务器会把你需要的内容加密返回给你,安全又稳定。
如果你需要自己搭建一个,有下面的教程供你参考,VPS通用。
这里可以试用
智能路由器
随着小米路由器的发布,想要入手一个入门的智能路由器(能刷openwrt、dd-wrt等基于Linux可定制系统),就很方便快捷了。而且刷机简单,机器性价比也不错。此文不仅适用于小米路由器,还有很多路由器都可以参考此文,如百度的newifi、极路由等。
如果现在要购买小米路由器,网友@Yacyin有以下建议:
还有就是江浙沪的朋友,最好买易迅的版本,京东的版本是4月份的,做工明显糙很多,符合小米一贯质次价高的特点,要不是现在不好更新,我肯定买极路由2S了
小米路由器如何刷机请参考 和 ,等开启了路由器SSH权限后我们就可以开始刷机了!
有些固件版本你可能找不到了,老高这儿还有存货。链接: 链接:
密码: yvi7
注意千万不能用官方的刷机方法,把PandoraBox重命名为xxx.bin,然后插U盘刷机,刷完你会哭的。
正确的步骤是官方固件开启ssh后使用命令刷机
最后就是刷机了,刷机的命令在下面,其中/tmp/PandoraBox-ralink-xiaomi-mini-r327-.bin是刷机包的文件名。
mtd -r write /tmp/PandoraBox-ralink-xiaomi-mini-r327-.bin firmware
# garu同学反应以上命令无法刷机,如果出现类似情况,请使用以下命令刷
mtd -r write /tmp/PandoraBox-ralink-xiaomi-mini-r327-.bin OS1
科学上个网配置
刷完机器的路由器就有以下技能,不过技能可能随着你刷的版本而变,目前()还是建议刷稳定版(stable),版本号r512。
其中shadowsocks负责代理,是搬运工;
ChinaDNS负责解析域名,防止DNS污染,功夫网最近升级,目测ChinaDNS工作起来不太稳定;
最后的redsocks2负责判断线路是否正常,否则走代理访问,即自动翻墙,redsocks2是目前比较只能的扶墙工具,但是缺点也很明显,你会感到明显的网络延迟,不推荐玩游戏等对延迟有高要求的用户使用。
废话真多,赶紧进入正题吧!
opkg类似centos的yum,Ubuntu的apt-get,我们用它安装编译好的软件,省时省力。想要自己编译对应平台的软件,请参考。
配置opkg这一步需要十分重要,后续的很多操作都依赖此项,针对小米或同种类的CPUMTK MT7620A,我们可以在pandorabox的后台位于 系统->软件包->配置。
配置方法可以参考。
配置好opkg后可以点击刷新列表来更新软件列表,也可以在后台运行命令
opkg update
注意,更新完毕后一定解决的问题-------安装libc。否则会遇到类似下面的错误!
satisfy_dependencies_for: Cannot satisfy the following dependencies for redsocks2:libc * libc *
配置shadowsocks客户端
shadowsocks的服务端配置也很简单,请参考。
下面我们主要将客户端的配置
当我们在远程服务器配置完毕后 或者 购买他人提供的shadowsocks服务后,我们能够得到以下配置:
ip->服务器IP地址
prot->服务器开放的端口号
密码->服务器验证密码
method->加密方式
有了以上信息,我们可以开始基本配置,如下图:
下面我们开启本地sock5代理,以供测试配置是否生效,设置如下图:
这两步配置相当于运行了以下命令(ss-local是客户端的命令行工具)
/usr/bin/ss-local -s 11.11.11.11 -p 12345 -l 1080 -m des-cfb -k passwd -u -f /var/run/ss-local.pid
最重要的一步在此,请注意
透明代理如何配置?
透明代理即默认将所有数据请求都转发给ss完成,然而这样做会浪费流量,所以我们开启IP白名单(white list),IP白名单中全是中国的IP,在白名单中的IP不会转发至代理服务器,保证了访问速度,节省了流量,并基本实现了自动翻墙。
此方法的缺点是不够只能,IP白名单需要经常升级。
此配置的难点是如何获取国内IP段,我们使用如下简单的技巧可以获取最新的国内IP段。
ps.IP白名单利用了dnsmasq中的ipset
# 从ftp中获取中国IP段
curl 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | grep ipv4 | grep CN | awk -F\| '{ printf("%s/%d\n", $4, 32-log($5)/log(2)) }' & /etc/chinadns_chnroute.txt
以上的命令会把数据保存在/etc/chinadns_chnroute.txt中,而ChinaDNS-C的菜单中会读取这一文本,所以我们只要移步至ChinaDNS-C菜单并拷贝ChinaDNS-C里的信息至shadowsocks透明代理的IP白名单中即可!如果没有luci界面的同学可以使用scp命令将/etc/chinadns_chnroute.txt导出再复制粘贴。
最终的配置如下图:
ChinaDNS需要指定国内IP和污染IP段,需要使用脚本定期更新维护,否则可能会出现解析异常。
通过后台执行ps|grep chinadns,找到chinadns使用的资源文件。
chinadns -l /etc/chinadns_iplist.txt -c /etc/chinadns_chnroute.txt -d -p 1053 -s 114.114.114.114,8.8.8.8
下面是更新命令,可以作为计划任务运行,计划任务位于
# 安装curl
opkg install curl
# 手动更新
curl 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | grep ipv4 | grep CN | awk -F\| '{ printf("%s/%d\n", $4, 32-log($5)/log(2)) }' & /etc/chinadns_chnroute.txt
# 自动更新
# 每天凌晨4点更新文件,注意文件路径
0 4 * * * curl 'http://ftp.apnic.net/apnic/stats/apnic/delegated-apnic-latest' | grep ipv4 | grep CN | awk -F\| '{ printf("%s/%d\n", $4, 32-log($5)/log(2)) }' & /etc/chinadns_chnroute.txt
更高级的配置可以参考里面的DNS篇。
老高的设置
检查命令,192.168.1.1为路由器IP,1053为ChinaDNS的端口。
dig @192.168.1.1
更多redsocks2的配置可以参考
前面的配置基本能够满足自动翻墙的需要了,但是使用ss白名单的不好之处就是国内IP需要定时更新,否则可能造成由于IP判断错误而打不开网页的情况,那么如果我很懒,不想经常去更新IP表,有什么更好的解决方案吗?
答案是有的。
redsocks2实现了自动翻墙,原理是先由iptables转发所有tcp请求至预先设定的端口,然后程序会尝试访问目标,如果在指定的时间内服务器有反应,那么就继续完成请求,否则让此次请求走代理线路,所以需要ss的配合。
由于有些版本的固件移除了redsocks2,我们需要把他找回来,以下是找回的方法:
# 安装redsocks2
opkg install redsocks2
# 安装redsocks2后台luci菜单
# wget 如果404,请移步 http://sourceforge.net/projects/openwrt-dist/files/luci-app/redsocks2/ 自己下载ipk,然后安装
wget http://iweb.dl.sourceforge.net/project/openwrt-dist/luci-app/redsocks2/luci-app-redsocks2_1.3.0-1_all.ipk
opkg install luci-app-redsocks2_1.3.0-1_all.ipk
redsocks2运行后会修改系统的防火墙。
图片说明:所有非内网的tcp流量都转发至1081端口,当然,这些工作都是后台自动完成的。
redsock2的具体配置说明如下图,当然你还可以参考。
效果图如下,不需要在手机上做任何设置
更好的方案
shadowsocks-libev-spec是shadowsocks-libev针对openwrt的优化版本,其中UDP转发可以彻底解决DNS污染问题,自动翻墙的配置更加简单,只需要配置好shadowsocks-libev-spec就可以实现!
请参考下面的链接?
小米论坛有一篇讲开启8080端口的教程,
其中最重要的就是这个:
vi /etc/config/firewall
config rule 'httpdwan'
option src 'wan'
option dest_port '8088'
option proto 'tcp'
option target 'ACCEPT'
option name ''\''httpd wan accept tcp port 8088'\'''
这样就开启了8080,配合就可以完美远程管理路由器了
具体想到的就这么多了,有什么疑问请留言。
安装某个软件时总是提示类似libc libgcc找不到?
请参考 文末。
我的界面怎么和你的不一样?
系统 - 语言和界面 - 主题 改成 Bookstrap,默认的是Luci
新版固件内核不兼容?还是换回稳定版吧。
Linux PandoraBox 3.14.42 #1 Sun May 17 20:39:27 CST 2015 mips GNU/Linux
Linux PandoraBox 3.14.40 #1 Wed May 13 20:38:46 CST 2015 mips GNU/Linux
Linux PandoraBox 3.10.70 #15 Mon Mar 9 19:33:59 CST 2015 mips GNU/Linux
潘多拉小米mini版已升级到stable,推荐更新。下载地址:
resocks2的安装和使用
补充被删除的固件PandoraBox-ralink-xiaomi-mini-r355-
更好的方案一节。
重铸此文。
创作,采用
进行许可。可自由转载、引用,但需署名作者且注明文章出处。
添加新评论
: 老高,pandorabox 有没有指定内网ip走ss代理的?
: 是否有适用小米路由pro的教程?
: 博主,最近看到网上您的缓存插件,请问如果是使用fastcgi缓存...
: 感觉老高是我最早常逛的博客之一
我做了一个又一个博客,已经不用t...
: 请问老高,不绑定域名,用IP怎么访问wwwroot/index....
: --mtu value
--sndwnd value
: 同样的配置,在我的阿里云上的Debian正常
: 博主,向你请教一个和contab有关的问题
搬瓦工vps,设置c...
: 推荐使用 Typecho 开发版 + php 7.1.8 ,现在...
: 点保存后,出现域名+action/plugins-edit?co...114DNS--抗攻击DNS,超高可靠,提供智能DNS解析。公众DNS服务地址为114.114.114.114
您当前的位置:首页 & 常见问题
公众 DNS 服务问答
权威 DNS 服务问答
ISP 应急备份服务问答
问:QQ能上,网页打不开怎么解决?
答:QQ能上表示您的网络是好的,网页打不开是因为您所用的DNS有故障,将DNS地址设置为114.114.114.114及114.114.115.115可有效解决这个故障。设置DNS的方法请点。
问:DNS 有什么用?
答:DNS服务是最基础的网络服务,它将网站的网址翻译成计算机可访问的IP地址,有点类似于114电话号码查询服务。
比如说您要去访问百度的网址 ,您的计算机就会自动问DNS服务器“的IP地址是多少呀?”如果DNS服务器出故障无法回答您,那您就无法访问百度了。您上网浏览的网页中,有些是坏蛋精心伪装的网站,比如说您不知情被引导去访问坏蛋的网址
时,您的计算机也会自动问DNS服务器“的IP地址是多少呀?” 如果DNS服务器告诉您它的IP地址(电信运营商的DNS都按规范应答),那好,您就有可能掉进坏蛋挖好的陷阱中去了!
问:114DNS 的公众 DNS 服务对我有帮助吗?
答:很有帮助。114DNS 与电信运营商自动分配给您的 DNS 相比,提供绿色 DNS 服务,而且更安全、更稳定、更方便。
使用 114DNS,您可以舒心畅游互联网,再也不要忍受 DNS 无故被劫持、被强扭去看广告或粗俗网站之痛苦;
使用 114DNS,骗您到山寨版假冒购物网站、窃取您的银行证券帐号密码、偷窥您的聊天记录和隐私照片、卖掉您的游戏道具的坏蛋们更难得逞;
使用 114DNS,可以保护您的未成年小孩免受网络色情内容的毒害;
使用 114DNS,您不会再遭遇因电信运营商的 DNS 故障而无法上网的麻烦;
使用 114DNS,无论出差到中国的哪个城市,您再也不用去修改笔记本电脑的 DNS 设置了。
问:DNS 是如何劫持的?有何危害?
答:计算机问DNS服务器“网站甲的IP地址是多少?”DNS服务器故意告诉计算机一个不正确的IP地址,计算机被引导到这个IP地址时,您看到的根本不是您想看的网站而是一个广告或是要偷窃您信息的网站。DNS劫持的危害类似于无良导游不带您看风景却将您带到黑店买东西。
问:网络劫持包括那几类?如何处理?
答:从互联网上搜索到的网络劫持抱怨大概可分为 3 类,处理方法如下:
1. http 劫持:这类劫持与 DNS 无关,ISP 伪造响应发给用户的浏览器,可通过将劫持页面的 IP 地址或域名放入浏览器的受限站点的方法免受其骚扰;2. 递归 DNS 劫持:不使用 ISP 或 OpenDNS 的 DNS 服务,改用 114.114.114.114;
3. 权威 DNS 劫持:说它劫持有点牵强,因为这是权威 DNS 服务所为,可通过将劫持页面的 IP 地址或域名放入浏览器的受限站点的方法免受其骚扰;
问:用了114DNS之后为什么还会有电信运营商的广告弹出来?
答:该广告采用法律风险很高的HTTP劫持,技术上与DNS无关。可通过将广告页面的 IP 地址或域名放入浏览器的受限站点的方法减少骚扰。由于HTTP劫持的风险很高,ISP正常情况下HTTP劫持而弹出的广告远少于DNS劫持而发布的广告。
问:如何判断ISP劫持而导致您无法使用114DNS?
答:命令行输入 nslookup
114.114.114.114,如果返回的结果有127.0.0.X,说明您的ISP劫持了114DNS,导致您无法使用114DNS的服务。
问:114DNS公众DNS服务免费,是否有稳定的资金保障?
答:虽然114DNS的公众DNS服务是免费的,但114DNS面向企业的权威DNS服务是收费的而且价格较高,国内互联网巨头、电商、金融机构等正在使用114DNS的权威DNS服务。
问:钓鱼网站有什么危害?
答:钓鱼网站通常精心伪装成银行、证券、网络支付、电子商务、网络游戏等网站,骗取用户提交的帐号、密码等私密信息,从而窃取用户的财产。
问:木马网站有什么危害??
答:当您访问一个看似正常、但带有种植木马功能的网站时,您的计算机就可能会被坏蛋安装一个木马软件。木马软件犹如隐藏在您计算机内的一个间谍,可偷窃您的重要信息或隐私信息、修改您的数据、也可把您的计算机当成傀儡去攻击其他人但却让您背黑锅。
问:杀毒软件为何无法拦截钓鱼网站?
答:由于钓鱼网站本身可以没有任何病毒、木马,因而传统的杀毒软件无法识别它。
问:114DNS如何拦截钓鱼、病毒、木马网站?
答:114DNS通过多种技术手段事先收集钓鱼网站及含有病毒木马网站的网站,然后将这些网站的域名强制解析成特定的IP地址。使用114DNS之后,无法正确解析出钓鱼、病毒、木马网站的IP地址,从而阻止您访问这些有害网站。
问:我还希望使用114DNS,但是想关闭114DNS的拦截钓鱼、病毒、木马网站功能,如何
答:您可以将计算机首选DNS服务器设置为:114.114.114.114,备用DNS服务器设置
为:114.114.115.115,则114DNS不会再拦截钓鱼、病毒、木马网站
如果您需要重新打开114DNS的拦截钓鱼、病毒、木马网站功能,再次将计算机首选
DNS服务器设置为:114.114.114.119,备用DNS服务器设置为:114.114.115.119。
DNS设置方法请点
问:114DNS如何拦截色情网站?
答:114DNS通过多种技术手段事先收集色情网站及含有少儿不宜内容的网站,然后将这些网站的域名强制解析成特定的IP地址。您将DNS设置为114.114.114.110和114.114.115.110之后,无法正确解析出色情及少儿不宜网站的IP地址,从而保护您的未成年小孩免受网络色情内容的毒害。
问:我还希望使用114DNS,但是想关闭114DNS的拦截色情网站功能,如何设置?
答:您可以将计算机首选DNS服务器设置为:114.114.114.119,备用DNS服务器设置
为:114.114.115.119,则114DNS不会再拦截色情网站
如果您需要重新打开114DNS的拦截色情网站功能,再次将计算机首选DNS服务器设
置为:114.114.114.110,备用DNS服务器设置为:114.114.115.110。
DNS设置方法请点
问:114DNS 的公众 DNS 服务与 OpenDNS、Google DNS 相比,有什么优点?
答:OpenDNS 和 Google DNS 都有值得 114DNS 学习的地方,但 114DNS 以其超高速的处理能力,率先在公众 DNS 服务领域引入按源 IP 智能 DNS 服务,能提高访问网络资源的速度,更何况 114DNS 就在你身边,不会出现"被出国"的尴尬,试用一下就知道 114DNS 的魅力。
问:为什么取名 114DNS?
答:114 在中国是个家喻户晓的电话号码查询特服号,与 DNS 的翻译服务类似,公众 DNS 服务地址为 114.114.114.114 和 114.114.115.115,因而取名 114DNS 。
问:网络上能搜索到许多关于114DNS劫持的报道,为什么?
答:彼 114DNS 非此 114DNS ,114.114.114.114 不会做网络劫持,网络上所骂的 114DNS 劫持,骂的是 ISP 以 DNS 将用户劫持到 114 搜索去,俗话说冤有头债有主,下次再骂应改骂为 "114 搜索的 DNS 劫持",如再简骂为"114DNS 劫持"则会误伤无辜。
问:114DNS 与 ISP 的"DNS流量经营业务"有冲突吗?
答:无冲突。首先 114DNS 不会做网络劫持,因而与 ISP 的"DNS流量经营业务"无冲突;其次,114DNS 可做为 ISP 的有益补充:对于强烈抵制 ISP DNS 劫持的少量用户,ISP 可建议其改用 114DNS,有效降低用户到工信部越级投诉的次数。
问:114DNS的公众DNS服务会影响国家对信息安全的管理吗?
答:不会,因为114DNS的主要用途之一是为基础电信运营商做DNS备份,它的性质及逻辑位置与电信运营商已有的DNS等同。由于性能强劲, 114DNS可为我国的互联网及电子商务提供可靠的基础安全保障,降低重大DNS事件对社会秩序或实体经济造成的负面影响。 2012年3月底,著名黑客组织威胁要攻击 13 个 DNS 根服务器从而让全球互联网瘫痪,114DNS成为中国电信、中国联通、中国移动三大基础电信运营商DNS应急的重要保障。
问:如何将 DNS 服务器修改为 114.114.114.114 ?
答:如果您使用的 Windows XP 操作系统,请按下面的操作方法进行修改;如果您使用的是 Windows 7 或 Vista,请点击 。
Windows XP 系统 DNS 服务器设置方法
1、在桌面中找到"网上邻居"的图标,鼠标右键点击该图标,在弹出菜单中选择"属性",如下图:
如桌面没有"网上邻居"图标,您可以打开系统"控制面板",选择"网络和 Internet 连接",如下图:
2、在完成步骤 1 后出现"网络连接"文件夹,根据用户的宽带方式不同,会出现"本地连接"图标(下图左①)或者“ADSL 拨号”(下图右②)图标,请在图标上单击鼠标右键,在弹出菜单中选择"属性":
3、在完成步骤 2 后出现"本地连接 属性"(下图左①)或者“ADSL 拨号 属性”(下图右②)的窗口,双击" Internet 协议(TCP/IP)"选项或单击选中后再点击下方"属性"按钮,如下图:
4、在完成步骤 3 后,出现"Internet 协议(TCP/IP)属性"窗口,如下图红框标示区域输入 114DNS 为您提供的公众 DNS 服务地址:
首选 DNS 服务器:114.114.114.114,备用 DNS 服务器:114.114.115.115,输好后点击"确定"按钮即完成修改。
Windows 7 或 Vista 系统 DNS 服务器设置方法
1、在桌面中找到"网络"的图标,鼠标右键点击该图标,在弹出菜单中选择"属性",如下图:
如桌面没有"网上邻居"图标,您可以打开系统"控制面板",选择"网络和 Internet "项中的"查看网络状态和任务"连接,如下图:
2、在完成步骤 1 后出现"网络和共享中心"文件夹,点击左侧“更改适配器设置”,如下图:
3、在完成步骤 2 后出现"网络连接"的窗口,选择您使用的宽带连接,单击右键选择"属性"菜单,如下图:
4、在完成步骤 3 后,根据第 3 步中选择的不同会出现"本地连接 属性"(下图左①)或者“宽带连接 属性”(下图右②)的窗口,在"本地连接 属性"的窗口,双击" Internet 协议版本 4 (TCP/IPv4)"选项或单击选中后再点击下方"属性"按钮;在“宽带连接 属性”窗口中请先点击上方“网络”选项卡,然后再双击" Internet 协议版本 4 (TCP/IPv4)"选项或单击选中后点击下方"属性"按钮。如下图:
5、在完成步骤 4 后,根据第 4 步的操作不同,出现如下图 ① ②不同的"Internet 协议版本4(TCP/IPv4)属性"窗口,如图所示在红色框选区域输入 114DNS 为您提供的公众 DNS 服务地址:
首选 DNS 服务器:114.114.114.114,备用 DNS 服务器:114.114.115.115,输好后点击"确定"按钮即完成修改。
Windows XP 用户点击
问:ISP如何免费使用114DNS?
答:ISP将BIND的递归请求forward到114DNS,可以大幅度提高现有DNS系统的服务质量,114DNS不会收取任何服务费。
由于114DNS以BGP Global AnyCast方式部署,所以ISP在使用114DNS时需要视BGP的情况决定是否需要采用静态路由,具体如下:
1、三大基础ISP(电信、联通、移动):直接将BIND的递归请求forward到114.114.114.114,无需考虑任何静态路由;
2、仅与三大基础ISP之一互联的小型ISP:直接将BIND的递归请求forward到114.114.114.114,无需考虑任何静态路由;
3、与三大基础ISP两个以上互联的小型ISP:将BIND的递归请求forward到114.114.114.114。访问114DNS默认情况下会使用114DNS在中国电信的服务,如果ISP希望使用114DNS在中国联通的服务,则需要在互联网关上设置静态路由“route add -net 114.114.114.0/23 gw China_Unicom_IP”。
在named.conf中增加如下配置便可将BIND的递归DNS请求forward到114DNS:
forwarders {114.114.114.114;114.114.115.115;};
说明:万一114DNS发生故障,ISP的BIND会自动尝试由自己去完成递归DNS工作。
问:IDC企业如何免费使用114DNS?
答:IDC企业直接使用114DNS递归服务或将BIND的递归请求forward到114DNS,可以大幅度提高现有DNS系统的服务质量,114DNS不会收取任何服务费。
由于114DNS以BGP Global AnyCast方式部署,所以IDC企业在使用114DNS时需要视BGP的情况决定是否需要采用静态路由,具体如下:
1、仅与三大基础ISP之一互联的IDC:直接将BIND的递归请求forward到114.114.114.114,或告知客户使用114.114.114.114作为DNS地址,无需考虑任何静态路由;
2、与三大基础ISP两个以上互联的IDC(俗称BGP机房):将BIND的递归请求forward到114.114.114.114,或告知客户使用114.114.114.114作为DNS地址。访问114DNS默认情况下会使用114DNS在中国电信的服务,如果IDC企业希望使用114DNS在中国联通的服务,则需要在互联网关上设置静态路由“route add -net 114.114.114.0/23 gw China_Unicom_IP”。
在named.conf中增加如下配置便可将BIND的递归DNS请求forward到114DNS:
forwarders {114.114.114.114;114.114.115.115;};
说明:万一 114DNS 发生故障,IDC 的 BIND 会自动尝试由自己去完成递归 DNS 工作。
问:与多家基础ISP互联的IDC或小型 ISP 使用 114DNS 时,如何确定被访问的114DNS节点在哪个基础ISP?
答:以 114.114.114.114 为 DNS 服务器解析 ,返回的 IP 地址可以判断您当前访问的 114DNS 节点,是 114DNS 在多个基础 ISP 中的哪一个。
Windows命令“nslookup
114.114.114.114”,四种可能的返回结果的含义如下:
127.0.0.1表示您当前访问的114DNS,在电信(及教育网);
127.0.0.2表示你当前访问的114DNS,在联通;
127.0.0.3表示您当前访问的114DNS,在移动(及铁通);
127.0.0.4表示您当前访问的114DNS,在美国。
注意:如果采用其他DNS服务器解析,则上述判断不成立。
问:与电信、联通都有电路互联的企业,用114DNS如何做到让某条电路优先?
答:如下图所示,在企业的接口路由器上设置到114DNS选联通的静态路由,114DNS将返回联通的递归DNS结果,用户主要被引导去联通,从而让联通的电路优先;反之电信的电路优先。
问:与电信、联通都有电路互联的企业,用114DNS如何做到两条电路负载均衡?
答:如下图所示,在企业的接口路由器上设置两条等价路由,寻址到114DNS电信节点时会返回电信的递归DNS结果,寻址到114DNS联通节点时会返回联通的递归DNS结果,有些用户被引导去电信、有些用户被引导去联通,从而让两条链路的负载基本均衡。
问:如何判断我是否真正在使用114.114.114.114作为DNS地址。
答:用浏览器访问
就能知道答案。假设你的PC或手机WiFi已经设置DNS为114.114.114.114,但WEB页面却未告知你DNS已经设置为114.114.114.114,那么有两种可能:(1)你的ISP劫持了DNS;(2)你的家用路由器劫持了DNS(这有点不可思议,但由于未知原因就有少量设备这么干的)。
问:如何使用114DNS的httpDNS服务?
答:举例来说:
其中: 是要解析的域名主机
可选项:ip=1.2.3.4,定义源IP地址,如果不填114DNS就从http请求中获得客户的源IP
可选项:ttl=y,如果不填,则返回值中不包括TTL
可选项:type,如果不填,则返回A记录,目前TYPE只能选A和AAAA
问:114DNS 支持哪些 DNS 记录类型?
答:114DNS 支持 A、AAAA、CNAME、NS、MX、TXT、SOA、SRV、PTR 等常用 DNS 记录类型。
问:114DNS 使用 2 个 IP 地址对外提供 NS 服务,是否仅有 2 台服务器?
答:114DNS 使用 BGP Global AnyCast 技术:在多个基础电信运营商的多个地点广播相同的 IP 地址,有众多相同 IP 地址的 NS 设备分布在多个基础电信运营商的多个核心机房。DNS 根节点就采用 BGP Global AnyCast 技术部署,因而每个 DNS 根节点仅需 1 个IP地址,但有众多的 NS 设备。BGP Global AnyCast 具有很高的容错性及隔离 DDoS 攻击的能力(日13台 DNS 根服务器遭遇 DDoS 之后,开始以 BGP Global AnyCast 技术部署 DNS 根节点以加强抵御 DDoS 攻击的能力),但需要基础电信运营商在核心路由器上配置、成本高昂,因而国内基本无人使用。114DNS 是多个基础电信运营商确保互联网基础安全协作的产物,因而采用了与 DNS 根节点一样、最可靠的 BGP Global AnyCast 技术,所以仅需1个 IP,114DNS 实际上用了2个。Google Public DNS 使用的 8.8.8.8 及 8.8.4.4,采用可靠的 BGP Global AnyCast 部署递归 DNS 服务,114DNS 使用的 114.114.114.114 及 114.114.115.115 也采用一样的部署技术,都有大量的递归设备而不是 2 台设备。
问:如何部分使用114DNS的权威DNS透明保护服务
答:CDN 服务企业、自建 CDN 的企业、大型互联网公司,可到域名注册商那将原有的某个 NS 服务地址改为114.114.116.116 或 114.114.117.117。例如企业原有 NS1、NS2、NS3、NS4 等 4 组 NS 服务器,可到域名注册商那将 NS4 指向114.114.116.116 或 114.114.117.117,实际上第 4 组 NS 服务器却使用另外一个 IP 地址,该 IP 地址仅允许 114DNS 访问,因而大众无法直接访问第4 组NS服务器。平常无攻击时 114DNS 仅起桥梁作用,将 ISP 的递归 DNS 请求透传给 NS4,有 DNS 攻击时 114DNS 会将攻击流量洗涤后再送到 NS4 服务器。114DNS可将 ISP 到 114DNS 递归的源 IP 地址透传给 NS4 服务器,确保企业原有 NS1、NS2、NS3、NS4 的工作不变。当企业所有 NS 被攻击时,就算NS1、NS2、NS3 被攻瘫,114DNS 仍可保障 NS4 正常运行,如下图所示:
问:如何完全使用114DNS的权威DNS透明保护服务
答:CDN 服务企业、自建 CDN 的企业、大型互联网公司,可到域名注册商那将 NS 服务器修改为
和 nsdns.net,或者修改为:114.114.116.116 和 114.114.117.117(可"表现"为企业自己的 NS 服务器)。平常无攻击时 114DNS 仅起桥梁作用,将 ISP 的递归 DNS 请求透传给企业对大众不可访问的 NS 服务器;有 DNS 攻击时 114DNS 会将攻击流量洗涤后再送到企业对大众不可访问的 NS 服务器。114DNS 可将 ISP 到 114DNS 递归的源 IP 地址透传给企业对大众不可访问的 NS 服务器,确保企业原有 NS 的工作不变。
问:114DNS的可靠性如何?
答:114DNS 由多家基础电信运营商提供的多条专用 10GE 线路直连其核心路由器,采用异地多点接入技术部署,在为电信运营商提供DNS服务的同时为社会企事业单位提供权威 DNS 服务。 114DNS 通过硬件自动切换、OSPF Local AnyCast 及 BGP Global AnyCast 相结合,自动旁路故障设备或节点,可提供可靠性高达 99.999% 的电信级服务。
问:114DNS 的权威 DNS 的抗攻击能力与其他 DNS 系统相比,有什么特点?
答:(1)若干基础电信运营商投入了多条直连核心路由器的 10GE 专用 DNS 带宽,114DNS 可抵御几千万 QPS 的各种暴力型 DNS 攻击,其抗攻击能力远超国内现有的其他权威 DNS 解析系统;(2)114DNS 的多点部署与 DNS 根节点一样:在多个地点以 BGP 协议广播相同的 DNS 服务地址,可直接采用 IP 地址对外服务,可靠性很高,而其他 DNS 服务企业则仅能采用域名对外服务,因而存在如下故障隐患:例如名为 dnsprovider 的 DNS 权威服务商,会要求企业将 NS 记录填写为 ,当解析
记录的服务器被攻击或故障时,其服务的大量域名均会无法解析。
问:114DNS 的权威 DNS 的抗攻击方法与其他 DNS 抗攻击相比,有什么特点?
答:其他 DNS 抗攻击通常采用"准白名单"方法:事先收集国内外主要 ISP 递归服务器的 IP 地址列表,当发生 DNS 攻击的时候启动白名单机制----仅允许这些 ISP 递归服务器访问 DNS 系统。这种方法能对付早期低级的 DNS 攻击者,但现在很多 DNS 攻击者发起的 DNS 攻击都是以 ISP 的递归服务器为跳板的,这些攻击者同样收集了国内外主要 ISP 递归服务器的 IP 地址列表,他们攻击某个域名例如
的时候,伪造源 IP 并向 ISP 递归服务器列表中的所有 IP 地址发出大量的泛域名 *. 请求,每个伪造的 DNS 包都会被 ISP 的递归服务器送到
的 NS 服务器去递归从而导致其瘫痪。这种抗攻击方法也难以抵御 DNS 攻击者直接伪造源 IP 地址为 ISP 的递归服务器 IP、IP 头的 TTL 合理随机、IP 头的IPID随机、UDP 头的 Src_Port 随机、DNS 的 Transaction ID 随机而发起的泛域名 DNS 请求攻击。此外,这种方法附加的缺点是误伤,许多企业自用的递归服务器往往不在白名单之列。114DNS 采用其他方法来抵抗 DNS 攻击,结合 114DNS 超强的服务能力,无论 DNS 攻击者以 ISP 的递归服务器为跳板,或是伪造源 IP 地址为 ISP 的递归服务器 IP 而发起 DNS 攻击,114DNS 都能保证权威 DNS 系统正常工作。
问:异地部署多个 NS 服务节点,能提升权威 DNS 服务系统的抗攻击能力吗?
答:异地部署多个 NS 服务节点,能更好地防止单点故障,包括软硬件故障及通信电路故障,但抗攻击能力与部署的 NS 服务节点数量无实质关系,抗攻击能力仅与权威 DNS 服务系统的总服务能力有关,例如,1 个具备 1000 万 QPS 服务能力的 NS 服务节点,抗攻击能力超过 20 个仅具备 40 万 QPS 服务能力的 NS 服务节点。
问:114DNS 权威服务的对象包括哪些?
答:114DNS 仅为守法经营的正规企事业单位提供有偿权威 DNS 服务,申请服务的单位必须提供包括ICP证在内的有效证件并与 114DNS 服务方签署书面合同后,才能使用 114DNS 权威服务。
问:114DNS 提供域名注册服务吗?
答:不提供。您可以联系万网、新网或类似的域名注册机构。
问:114DNS 如何为 ISP 实施 DNS 应急备份?
答:114DNS 采用 BGP 路由牵引技术,接管 ISP 原有的 DNS 服务地址,并通过类似于 VPN 隧道的技术,将 DNS 流量转移到 114DNS 服务节点,逻辑图如下:
问:ISP 启用 114DNS 的应急备份服务时,对专线用户及拨号用户有何影响?
答:无影响。对于专线用户及拨号用户,由于应急备份时 DNS 服务的 IP 地址不变,所以他们都无法感知到变化。
问:ISP 启用 114DNS 的应急备份服务后,是否会增加 DNS 解析时延?
答:不会。首先,由于114DNS 提供给 IPS 的应急备份设备自带高速缓存,由缓存直接响应的时延是微秒级的,远小于 ISP 原有 DNS 的响应时延;其次,114DNS 以 10GE 电路直连多个大型基础电信运营商的核心路由器,因而被提交到 114DNS 节点去递归的 DNS 请求,时延也非常小。
问:ISP启用114DNS应急备份很复杂吗?
答:非常简单,只要操作如下简单界面就可:
