x****k
发帖数: 2932 | 1 大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
现仍然可以看有版权限制的电影。
下面是我的猜想
由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
子和letv的真实IP之间。
但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
包给国内的server(这个server不同于看电影时的server地址),这个包的payload部
分包含盒子的海外IP地址。但这个包被redirect到第三方server上,payload里的海外
IP地址被更改为国内IP地址后再发给最终的server。
随便搜了一下其中的原理,geek们可以继续dig,但希望所有使用改dns的人!!!小心!!!
使用你们的设备
http://www.mitbbs.co.uk/article_t/PDA/32297389.html
http://www.zhihu.com/question/21589005
一些帖子无警告内容,希望版主能做适当处理
http://www.mitbbs.com/article_t/PDA/32297077.html
http://www.mitbbs.com/article1/PDA/32236573_0_1.html
http://www.mitbbs.com/article/PDA/32304011_3.html |
g*******t
发帖数: 7704 | 2 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
切换wifi还是很简单的, |
u****d
发帖数: 23938 | |
c*****i
发帖数: 631 | 4 银行账户啥的不都是https加密的,它拦截了也没有用把. |
z****8
发帖数: 5023 | 5 什么乱七八糟的。。。
如果监听数据包就能破解账号 干嘛要搞这么复杂 |
p*******m
发帖数: 20761 | 6 Starting Nmap 6.40 ( http://nmap.org ) at 2013-11-15 12:42 Eastern Standard Time
NSE: Loaded 110 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 12:42
Scanning 192.241.222.103 [4 ports]
Completed Ping Scan at 12:42, 0.16s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:42
Completed Parallel DNS resolution of 1 host. at 12:42, 0.08s elapsed
Initiating SYN Stealth Scan at 12:42
Scanning karlcheong.zhuzhu.org (192.241.222.103) [1000 ports]
Discovered open port 80/tcp on 192.241.222.103
Discovered open port 8000/tcp on 192.241.222.103
Completed SYN Stealth Scan at 12:42, 4.34s elapsed (1000 total ports)
Initiating Service scan at 12:42
Scanning 2 services on karlcheong.zhuzhu.org (192.241.222.103)
Completed Service scan at 12:42, 22.33s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against karlcheong.zhuzhu.org (192.241.222.
103)
Retrying OS detection (try #2) against karlcheong.zhuzhu.org (192.241.222.
103)
Initiating Traceroute at 12:42
Completed Traceroute at 12:42, 0.02s elapsed
Initiating Parallel DNS resolution of 3 hosts. at 12:42
Completed Parallel DNS resolution of 3 hosts. at 12:42, 0.00s elapsed
NSE: Script scanning 192.241.222.103.
Initiating NSE at 12:42
Completed NSE at 12:42, 1.67s elapsed
Nmap scan report for karlcheong.zhuzhu.org (192.241.222.103)
Host is up (0.016s latency).
Not shown: 972 filtered ports, 26 closed ports
PORT STATE SERVICE VERSION
80/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
8000/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
Device type: WAP|general purpose
Running (JUST GUESSING): Linksys embedded (93%), Linux 2.6.X (89%), Vodafone
embedded (86%)
OS CPE: cpe:/h:linksys:befw11s4 cpe:/o:linux:linux_kernel:2.6 cpe:/h:
vodafone:easybox_802
Aggressive OS guesses: Linksys BEFW11S4 WAP (93%), Linux 2.6.32 (89%),
Vodafone EasyBox 802 wireless ADSL router (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 65.043 days (since Wed Sep 11 12:40:51 2013)
Network Distance: 3 hops
TCP Sequence Prediction: Difficulty=256 (Good luck!)
IP ID Sequence Generation: All zeros
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
3 3.00 ms karlcheong.zhuzhu.org (192.241.222.103)
NSE: Script Post-scanning.
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.64 seconds
Raw packets sent: 2037 (94.120KB) | Rcvd: 67 (2.976KB) |
x****k
发帖数: 2932 | 7 这是详细解释,自己判断
http://igfw.net/archives/10117
【在 u****d 的大作中提到】
: unlock youku 插件也不安全?
|
c****7
发帖数: 838 | 8 他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
学名DNS spoofing.
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
|
x****k
发帖数: 2932 | 9 一般这不会有效,因为证书验证会失败,但
1. 很多用户并不了解技术,
2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
【在 c****7 的大作中提到】
: 他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
: 学名DNS spoofing.
|
m********s
发帖数: 55301 | 10 事实是这样的。
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
|
|
|
B***o
发帖数: 369 | 11 小米盒子的好处就体现出来了,可以在设定里直接指定DNS,不用在router上改。 |
S*******s
发帖数: 13043 | 12 这个192.241.222.103是谁维护的?cnnic的证书拥有者不会对我的银行账号感兴趣吧 |
e******n
发帖数: 3435 | 13 dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
|
f*******5
发帖数: 10321 | 14 浏览器会给证书警告。假的mitbbs倒是不容易发现。
【在 e******n 的大作中提到】
: dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
: 去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
: 站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
|
e******n
发帖数: 3435 | 15 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
com
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
|
R***a
发帖数: 41892 | 16 问题是大家一般直接敲银行网站by default是没有 https,
真的网站会给你redirect到https,但是假的网站可以干脆就直接http,
用户体验上没区别,除非你每次都盯一下浏览器上那个secure标志。
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
|
S*******s
发帖数: 13043 | 17 你这又不是域名劫持。跟上面说的不是一回事。
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
|
e*********s
发帖数: 365 | 18 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
chrome或者Firefox插件都可以干同样甚至更恶劣的事 |
f*******5
发帖数: 10321 | 19 youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
|
x****k
发帖数: 2932 | 20 anyway,我希望版主能将这个帖子置顶,并将其他没有警告的帖子做适当处理。
我个人做IT方面的工作,也是网银被盗的受害者,所以大家不要take any chance,以
为这种事情不会落在自己头上。小心为好。 |
|
|
e******n
发帖数: 3435 | 21 dns是可以返回域名的。
这个过程就是citibank -> c1tibank -> ip -> fake website
什么警告都不会有。
【在 S*******s 的大作中提到】
: 你这又不是域名劫持。跟上面说的不是一回事。
|
x****k
发帖数: 2932 | 22 开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
放在open source里得不偿失(NSA级别的另算)。
但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
了个trap在那里?
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
|
c****7
发帖数: 838 | 23 常用伎俩是:www.citibank.com.aa.bb/login
你没仔细看就中奖了,前些年the great firewall用这招破解https的gmail。 |
w****e
发帖数: 586 | 24 我看过unblock youku源代码,它有三招
1. http header里加x-forwarded-for (精简模式)
2. 利用网友hack了sogou浏览器代理的成果,用sogou浏览器官方的“加速代理”做转
发(普通模式)
3. 用自己的服务器做代理(转发模式)
前两招基本是安全的,怕不安全别用第三招就是了。
【在 f*******5 的大作中提到】
: youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
|
e*********s
发帖数: 365 | 25 用动机来讨论的话开发一个addon需要花费的精力应该比架DNS还要高吧
至于开源……首先不是所有addon都开源,其次我相信90%以上用addon的人不会去看源
代码,顶多能上网查一下其他人的review就不错了
【在 x****k 的大作中提到】
: 开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
: 代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
: 放在open source里得不偿失(NSA级别的另算)。
: 但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
: 钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
: 了个trap在那里?
|
w****e
发帖数: 586 | 26 我专业是做networking的,总得来说改DNS肯定有风险,别人想搞死你的方法千千万,
想得到的想不到的防不胜防。但想获得利益本来就有risk,就像下个破解版软件谁知道
人家有么有留后门?
看了一眼,这个dns服务器80跳转到unblock youku代码页面。如果是同一个作者,我还
是倾向于相信他的。(其实我觉得他靠捐款应该也拿了一点点小钱足以维持服务器吧?) |
h****n
发帖数: 188 | 27 同意,我的unlock youku只在chrome上装
chrome之用来看视频 |
e*********s
发帖数: 365 | 28 当然同意这年头怎么小心都不为过
用chrome的incognito或者IE的private模式上网银,删掉CNNIC根证书,开启二次认证
……
这些才是保证安全的方法
我是觉得不必特意强调DNS的危险性,谈虎色变,其实装来源不明的软件什么的更危险 |
c********l
发帖数: 8138 | 29 用域名变形虫与楼顶的DNS挟持无关
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
|
c********l
发帖数: 8138 | 30 直接返回citibank -> ip -> fake website 岂不是更直接且不容易被发现?
另外,如果你用过citibank就知道,黑客如果想攻击,一般会从
accountonline.com上动脑筋,
【在 e******n 的大作中提到】
: dns是可以返回域名的。
: 这个过程就是citibank -> c1tibank -> ip -> fake website
: 什么警告都不会有。
|
|
|
i**8
发帖数: 134 | 31 说这么多话tcpdump一下不就结了?
自称搞IT的应该不难吧 |
g*******t
发帖数: 7704 | |
a****n
发帖数: 938 | 33 why I can not use dns on android system? |
p***y
发帖数: 637 | 34 dns 可以带你去钓鱼网站
【在 z****8 的大作中提到】
: 什么乱七八糟的。。。
: 如果监听数据包就能破解账号 干嘛要搞这么复杂
|
p***y
发帖数: 637 | 35 假网站不需要用https来揭发自己。细心的骗不倒,骗粗心和外行就够了
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
|
t*******1
发帖数: 765 | |
l*****g
发帖数: 160 | 37 只要做两个virtual wlan就行了
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
|
x****k
发帖数: 2932 | 38 大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
现仍然可以看有版权限制的电影。
下面是我的猜想
由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
子和letv的真实IP之间。
但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
包给国内的server(这个server不同于看电影时的server地址),这个包的payload部
分包含盒子的海外IP地址。但这个包被redirect到第三方server上,payload里的海外
IP地址被更改为国内IP地址后再发给最终的server。
随便搜了一下其中的原理,geek们可以继续dig,但希望所有使用改dns的人!!!小心!!!
使用你们的设备
http://www.mitbbs.co.uk/article_t/PDA/32297389.html
http://www.zhihu.com/question/21589005
一些帖子无警告内容,希望版主能做适当处理
http://www.mitbbs.com/article_t/PDA/32297077.html
http://www.mitbbs.com/article1/PDA/32236573_0_1.html
http://www.mitbbs.com/article/PDA/32304011_3.html
=============================
update:
开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
放在open source里得不偿失(NSA级别的另算)。
但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
了个trap在那里?
anyway,我希望版主能将这个帖子置顶,并将其他没有警告的帖子做适当处理。
我个人做IT方面的工作,也是网银被盗的受害者,所以大家不要take any chance,以
为这种事情不会落在自己头上。小心为好。 |
g*******t
发帖数: 7704 | 39 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
切换wifi还是很简单的, |
u****d
发帖数: 23938 | |
|
|
c*****i
发帖数: 631 | 41 银行账户啥的不都是https加密的,它拦截了也没有用把. |
z****8
发帖数: 5023 | 42 什么乱七八糟的。。。
如果监听数据包就能破解账号 干嘛要搞这么复杂 |
p*******m
发帖数: 20761 | 43 Starting Nmap 6.40 ( http://nmap.org ) at 2013-11-15 12:42 Eastern Standard Time
NSE: Loaded 110 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 12:42
Scanning 192.241.222.103 [4 ports]
Completed Ping Scan at 12:42, 0.16s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:42
Completed Parallel DNS resolution of 1 host. at 12:42, 0.08s elapsed
Initiating SYN Stealth Scan at 12:42
Scanning karlcheong.zhuzhu.org (192.241.222.103) [1000 ports]
Discovered open port 80/tcp on 192.241.222.103
Discovered open port 8000/tcp on 192.241.222.103
Completed SYN Stealth Scan at 12:42, 4.34s elapsed (1000 total ports)
Initiating Service scan at 12:42
Scanning 2 services on karlcheong.zhuzhu.org (192.241.222.103)
Completed Service scan at 12:42, 22.33s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against karlcheong.zhuzhu.org (192.241.222.
103)
Retrying OS detection (try #2) against karlcheong.zhuzhu.org (192.241.222.
103)
Initiating Traceroute at 12:42
Completed Traceroute at 12:42, 0.02s elapsed
Initiating Parallel DNS resolution of 3 hosts. at 12:42
Completed Parallel DNS resolution of 3 hosts. at 12:42, 0.00s elapsed
NSE: Script scanning 192.241.222.103.
Initiating NSE at 12:42
Completed NSE at 12:42, 1.67s elapsed
Nmap scan report for karlcheong.zhuzhu.org (192.241.222.103)
Host is up (0.016s latency).
Not shown: 972 filtered ports, 26 closed ports
PORT STATE SERVICE VERSION
80/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
8000/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
Device type: WAP|general purpose
Running (JUST GUESSING): Linksys embedded (93%), Linux 2.6.X (89%), Vodafone
embedded (86%)
OS CPE: cpe:/h:linksys:befw11s4 cpe:/o:linux:linux_kernel:2.6 cpe:/h:
vodafone:easybox_802
Aggressive OS guesses: Linksys BEFW11S4 WAP (93%), Linux 2.6.32 (89%),
Vodafone EasyBox 802 wireless ADSL router (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 65.043 days (since Wed Sep 11 12:40:51 2013)
Network Distance: 3 hops
TCP Sequence Prediction: Difficulty=256 (Good luck!)
IP ID Sequence Generation: All zeros
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
3 3.00 ms karlcheong.zhuzhu.org (192.241.222.103)
NSE: Script Post-scanning.
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.64 seconds
Raw packets sent: 2037 (94.120KB) | Rcvd: 67 (2.976KB) |
x****k
发帖数: 2932 | 44 这是详细解释,自己判断
http://igfw.net/archives/10117
【在 u****d 的大作中提到】
: unlock youku 插件也不安全?
|
c****7
发帖数: 838 | 45 他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
学名DNS spoofing.
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
|
x****k
发帖数: 2932 | 46 一般这不会有效,因为证书验证会失败,但
1. 很多用户并不了解技术,
2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
【在 c****7 的大作中提到】
: 他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
: 学名DNS spoofing.
|
m********s
发帖数: 55301 | 47 事实是这样的。
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
|
B***o
发帖数: 369 | 48 小米盒子的好处就体现出来了,可以在设定里直接指定DNS,不用在router上改。 |
S*******s
发帖数: 13043 | 49 这个192.241.222.103是谁维护的?cnnic的证书拥有者不会对我的银行账号感兴趣吧 |
e******n
发帖数: 3435 | 50 dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
|
|
|
f*******5
发帖数: 10321 | 51 浏览器会给证书警告。假的mitbbs倒是不容易发现。
【在 e******n 的大作中提到】
: dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
: 去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
: 站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
|
e******n
发帖数: 3435 | 52 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
com
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
|
R***a
发帖数: 41892 | 53 问题是大家一般直接敲银行网站by default是没有 https,
真的网站会给你redirect到https,但是假的网站可以干脆就直接http,
用户体验上没区别,除非你每次都盯一下浏览器上那个secure标志。
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
|
S*******s
发帖数: 13043 | 54 你这又不是域名劫持。跟上面说的不是一回事。
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
|
e*********s
发帖数: 365 | 55 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
chrome或者Firefox插件都可以干同样甚至更恶劣的事 |
f*******5
发帖数: 10321 | 56 youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
|
x****k
发帖数: 2932 | 57 anyway,我希望版主能将这个帖子置顶,并将其他没有警告的帖子做适当处理。
我个人做IT方面的工作,也是网银被盗的受害者,所以大家不要take any chance,以
为这种事情不会落在自己头上。小心为好。 |
e******n
发帖数: 3435 | 58 dns是可以返回域名的。
这个过程就是citibank -> c1tibank -> ip -> fake website
什么警告都不会有。
【在 S*******s 的大作中提到】
: 你这又不是域名劫持。跟上面说的不是一回事。
|
x****k
发帖数: 2932 | 59 开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
放在open source里得不偿失(NSA级别的另算)。
但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
了个trap在那里?
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
|
c****7
发帖数: 838 | 60 常用伎俩是:www.citibank.com.aa.bb/login
你没仔细看就中奖了,前些年the great firewall用这招破解https的gmail。 |
|
|
w****e
发帖数: 586 | 61 我看过unblock youku源代码,它有三招
1. http header里加x-forwarded-for (精简模式)
2. 利用网友hack了sogou浏览器代理的成果,用sogou浏览器官方的“加速代理”做转
发(普通模式)
3. 用自己的服务器做代理(转发模式)
前两招基本是安全的,怕不安全别用第三招就是了。
【在 f*******5 的大作中提到】
: youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
|
e*********s
发帖数: 365 | 62 用动机来讨论的话开发一个addon需要花费的精力应该比架DNS还要高吧
至于开源……首先不是所有addon都开源,其次我相信90%以上用addon的人不会去看源
代码,顶多能上网查一下其他人的review就不错了
【在 x****k 的大作中提到】
: 开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
: 代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
: 放在open source里得不偿失(NSA级别的另算)。
: 但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
: 钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
: 了个trap在那里?
|
w****e
发帖数: 586 | 63 我专业是做networking的,总得来说改DNS肯定有风险,别人想搞死你的方法千千万,
想得到的想不到的防不胜防。但想获得利益本来就有risk,就像下个破解版软件谁知道
人家有么有留后门?
看了一眼,这个dns服务器80跳转到unblock youku代码页面。如果是同一个作者,我还
是倾向于相信他的。(其实我觉得他靠捐款应该也拿了一点点小钱足以维持服务器吧?) |
h****n
发帖数: 188 | 64 同意,我的unlock youku只在chrome上装
chrome之用来看视频 |
e*********s
发帖数: 365 | 65 当然同意这年头怎么小心都不为过
用chrome的incognito或者IE的private模式上网银,删掉CNNIC根证书,开启二次认证
……
这些才是保证安全的方法
我是觉得不必特意强调DNS的危险性,谈虎色变,其实装来源不明的软件什么的更危险 |
c********l
发帖数: 8138 | 66 用域名变形虫与楼顶的DNS挟持无关
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
|
c********l
发帖数: 8138 | 67 直接返回citibank -> ip -> fake website 岂不是更直接且不容易被发现?
另外,如果你用过citibank就知道,黑客如果想攻击,一般会从
accountonline.com上动脑筋,
【在 e******n 的大作中提到】
: dns是可以返回域名的。
: 这个过程就是citibank -> c1tibank -> ip -> fake website
: 什么警告都不会有。
|
i**8
发帖数: 134 | 68 说这么多话tcpdump一下不就结了?
自称搞IT的应该不难吧 |
g*******t
发帖数: 7704 | |
a****n
发帖数: 938 | 70 why I can not use dns on android system? |
|
|
p***y
发帖数: 637 | 71 dns 可以带你去钓鱼网站
【在 z****8 的大作中提到】
: 什么乱七八糟的。。。
: 如果监听数据包就能破解账号 干嘛要搞这么复杂
|
p***y
发帖数: 637 | 72 假网站不需要用https来揭发自己。细心的骗不倒,骗粗心和外行就够了
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
|
t*******1
发帖数: 765 | |
l*****g
发帖数: 160 | 74 只要做两个virtual wlan就行了
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
|
m******o
发帖数: 40 | 75 unblock youku和http://yo.uku.im/proxy.pac(同一个作者把)都是用proxy auto config只在request视频真实地址时才用代理。你其他的地址它不会拦截。 |
k*****y
发帖数: 882 | |
m******o
发帖数: 40 | 77 unblock youku和http://yo.uku.im/proxy.pac(同一个作者把)都是用proxy auto config只在request视频真实地址时才用代理。你其他的地址它不会拦截。 |
k*****y
发帖数: 882 | |
h*u
发帖数: 122 | 79 那如果我只改小米盒子的dns设置,不改router的,会对同一个网络下的的其他机子带
来安全问题吗? |
i******c
发帖数: 9350 | 80 router上用双ssid就可行了。
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
|
|
|
f****o
发帖数: 4067 | 81
no
【在 h*u 的大作中提到】
: 那如果我只改小米盒子的dns设置,不改router的,会对同一个网络下的的其他机子带
: 来安全问题吗?
|
h*u
发帖数: 122 | 82 那还是小米盒子好啊。我就放心大胆的dns大法了 :)
Thanks, fginao.
【在 f****o 的大作中提到】
:
: no
|
L******d
发帖数: 2461 | 83 不用在router上改,只在盒子上改,并且不要用改了dns的盒子去管理银行账户,能有
什么危害呢?
至于那个dns的拥有者,大不了可以收集用户信息做点大数据看看大家都是去了哪些视
频站点。who cares?
并不是小米盒子可以改dns. 是盒子都可以改,是android都可以改,是个OS都可以改。
在设置网络的地方,打开高级选项就可以了。 |
m**********e
发帖数: 12525 | 84 这就是DNS劫持的典型“良性”应用
妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
都是基于地址验证,dns都劫持了,啥都挡不住
DNS。
【在 x****k 的大作中提到】
: 大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
: 绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
: 账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
: letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
: 192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
: 现仍然可以看有版权限制的电影。
: 下面是我的猜想
: 由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
: 子和letv的真实IP之间。
: 但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
|
s********i
发帖数: 17328 | 85 router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
,里边不知道有啥东西,只有自求多福了。 |
b*****n
发帖数: 2324 | 86 有杀毒软件,不会检测不到吧?
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
|
w****y
发帖数: 2501 | 87 没有根CA的private key怎么办
【在 m**********e 的大作中提到】
: 这就是DNS劫持的典型“良性”应用
: 妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
: 楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
: 都是基于地址验证,dns都劫持了,啥都挡不住
:
: DNS。
|
s********i
发帖数: 17328 | 88 有些东西不是病毒啊,比如安全漏洞。
【在 b*****n 的大作中提到】
: 有杀毒软件,不会检测不到吧?
|
m**********e
发帖数: 12525 | 89 dns都被劫持了,还怕个啥?
你可以设个假的root ca server,无论谁发请求,都说证书是对的。
这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
【在 w****y 的大作中提到】
: 没有根CA的private key怎么办
|
r**i
发帖数: 1222 | 90 根CA是浏览器验证的吧。怕就拍CNNIC这种乱发证书的。不然浏览器还是会检测吧。 |
|
|
w****y
发帖数: 2501 | 91 与root CA的通讯也是加密的,包括“说证书是对的”这件事。root CA的public key是
浏览器内置或者系统自带的,你搞个fake root CA,没有丫的private key,根本没法
相应请求“说证书是对的”。你没搞懂?
【在 m**********e 的大作中提到】
: dns都被劫持了,还怕个啥?
: 你可以设个假的root ca server,无论谁发请求,都说证书是对的。
: 这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
|
t***y
发帖数: 741 | 92 嗯。问题是广电除了通知后,很多APP的官网,上面都没有TV版的APP了。我的TV版的
APP(除了VST和泰杰),都是从沙发网,或者电视家网上下的。但愿这两个网站用的人
多,没有问题。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
|
t***y
发帖数: 741 | 93 盒子上改DNS,如果没有登录帐号的APP,就是看看片子,我想无所谓吧
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
|
b********0
发帖数: 201 | 94 Nobody care untill they lost money. |
h*u
发帖数: 122 | 95 那如果我只改小米盒子的dns设置,不改router的,会对同一个网络下的的其他机子带
来安全问题吗? |
i******c
发帖数: 9350 | 96 router上用双ssid就可行了。
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
|
f****o
发帖数: 4067 | 97
no
【在 h*u 的大作中提到】
: 那如果我只改小米盒子的dns设置,不改router的,会对同一个网络下的的其他机子带
: 来安全问题吗?
|
h*u
发帖数: 122 | 98 那还是小米盒子好啊。我就放心大胆的dns大法了 :)
Thanks, fginao.
【在 f****o 的大作中提到】
:
: no
|
L******d
发帖数: 2461 | 99 不用在router上改,只在盒子上改,并且不要用改了dns的盒子去管理银行账户,能有
什么危害呢?
至于那个dns的拥有者,大不了可以收集用户信息做点大数据看看大家都是去了哪些视
频站点。who cares?
并不是小米盒子可以改dns. 是盒子都可以改,是android都可以改,是个OS都可以改。
在设置网络的地方,打开高级选项就可以了。 |
m**********e
发帖数: 12525 | 100 这就是DNS劫持的典型“良性”应用
妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
都是基于地址验证,dns都劫持了,啥都挡不住
DNS。
【在 x****k 的大作中提到】
: 大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
: 绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
: 账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
: letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
: 192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
: 现仍然可以看有版权限制的电影。
: 下面是我的猜想
: 由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
: 子和letv的真实IP之间。
: 但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
|
|
|
s********i
发帖数: 17328 | 101 router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
,里边不知道有啥东西,只有自求多福了。 |
b*****n
发帖数: 2324 | 102 有杀毒软件,不会检测不到吧?
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
|
w****y
发帖数: 2501 | 103 没有根CA的private key怎么办
【在 m**********e 的大作中提到】
: 这就是DNS劫持的典型“良性”应用
: 妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
: 楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
: 都是基于地址验证,dns都劫持了,啥都挡不住
:
: DNS。
|
s********i
发帖数: 17328 | 104 有些东西不是病毒啊,比如安全漏洞。
【在 b*****n 的大作中提到】
: 有杀毒软件,不会检测不到吧?
|
m**********e
发帖数: 12525 | 105 dns都被劫持了,还怕个啥?
你可以设个假的root ca server,无论谁发请求,都说证书是对的。
这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
【在 w****y 的大作中提到】
: 没有根CA的private key怎么办
|
r**i
发帖数: 1222 | 106 根CA是浏览器验证的吧。怕就拍CNNIC这种乱发证书的。不然浏览器还是会检测吧。 |
w****y
发帖数: 2501 | 107 与root CA的通讯也是加密的,包括“说证书是对的”这件事。root CA的public key是
浏览器内置或者系统自带的,你搞个fake root CA,没有丫的private key,根本没法
相应请求“说证书是对的”。你没搞懂?
【在 m**********e 的大作中提到】
: dns都被劫持了,还怕个啥?
: 你可以设个假的root ca server,无论谁发请求,都说证书是对的。
: 这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
|
t***y
发帖数: 741 | 108 嗯。问题是广电除了通知后,很多APP的官网,上面都没有TV版的APP了。我的TV版的
APP(除了VST和泰杰),都是从沙发网,或者电视家网上下的。但愿这两个网站用的人
多,没有问题。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
|
t***y
发帖数: 741 | 109 盒子上改DNS,如果没有登录帐号的APP,就是看看片子,我想无所谓吧
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
|
b********0
发帖数: 201 | 110 Nobody care untill they lost money. |
|
|
q****8
发帖数: 72 | 111 用ip切换器,稳定而且靠谱,推荐你flyyvpn,也推荐给大家,是free的 |
q****8
发帖数: 72 | 112 我怕知道flyvpn代理可以很好地 解决这个问题,http://www.flyvpn.com/cn/ |
