域名被封是指网站和APP从大陆无法正常访问,一般是因为网站包含敏感信息或者非法信息,被国家,地区或运营商防火墙屏蔽。当然也有不敏感或非法内容的网站被封的情况。下面我会分类讨论现有的各种域名被封的具体表现,检测方法和解决方法。
从技术手段的不同分可以分为以下5种情况:
1. 域名被墙
域名被墙是指包含敏感信息或违法内容的域名架设在大陆境外的服务器上,域名被大陆防火墙(简称GFW)列入黑名单,当大陆IP对该域名发起访问时就会触发断开机制,阻止访问。导致域名解析正常,但中国大陆不能访问,打开时会报“ERR_CONNECTION_RESET”或“连接已重置”,但大陆之外访问正常。
检测方法:
使用域名检测工具,登录www.checkgfw.com,输入要检测的域名。
解决方法:
- 将域名进行ICP备案。
- 使用大陆服务器。
- 了解更多解决方案。
2.域名区域性被拦截
域名区域性被拦截又被称为地区防火墙白名单,表现上与被墙类似,但出现在大陆部分省市而并非域名被墙的大陆所有地区都无法访问。与黑名单只拦截名单中的域名不同,地区白名单只有特定的域名能够建立安全连接可以正常访问,访问非白名单域名会拦截。目前我们统计到开启地区防火墙白名单的地区包括:福建泉州,河南郑州,湖北武汉,江苏,安徽合肥,江西九江,吉林长春,甘肃兰州,海南海口,贵州贵阳,山东,上海,重庆。其中福建泉州,河南郑州,湖北武汉,江苏最为严格。
检测方法:
使用ITdog,boce等第三方检测工具,输入要检测的域名,白名单地区访问失败,其他地区正常。
解决方法:
- 将域名进行ICP备案。
3. 域名被运营商屏蔽
运营商屏蔽是指某个电信运营商的用户不能访问该域名,其他运营商可以正常访问,这种情况主要发生在中国移动上,其效果与域名被墙和域名区域性被拦截一样,表现为移动用户无法访问。
检测方法:
使用ITdog,boce等第三方检测工具,输入要检测的域名,移动线路访问失败,其他正常。
解决方法:
- 将域名进行ICP备案,并到当地运营商申报解除限制。
4.DNS劫持和DNS污染
DNS劫持是通过手段取得域名解析记录控制权,修改域名的解析结果,导致域名解析出的IP从正确的变成指定错误IP,导致的结果是用户访问到其他的假域名,从而实现窃取用户资料,或者破坏正常访问,又或者劫持流量到竞争对手网站的目的,DNS劫持通常发生在局部地区,通常是个人行为。举个简单例子,用户输入google.com打开的内容却是百度。
DNS污染是通过修改DNS解析服务器上域名的解析(被称作DNS缓存投毒,DNS Catch Poisoning)结果到虚假主机IP而导致不能正常通信。DNS污染通常发生在大规模的区域,如市级,省级,甚至是国家级,通常是政府行为。DNS污染常见的是解析到127.0.0.1、0.0.0.0、反诈中心IP或其他政府网站的IP。
检测方法:
- 使用ITdog,boce等第三方检测工具,输入要检测的域名,某些地区解析结果出现其他竞争对手的网站IP,说明域名被劫持了,如果出现127.0.0.1、0.0.0.0、反诈中心IP、Facebook IP等说明域名被污染了。
2. 使用劫持检测工具,输入域名后查询域名是否被劫持或污染。
解决方法:
1. 联系解析域名异常的网络运营商反馈情况。中国内地三大主要运营商投诉电话如下:
- 移动用户,请拨打10086报障。
- 电信用户,请拨打10000报障。
- 联通用户,请拨打10010报障。
也可拨打出问题地区的通管局电话咨询下具体情况,或者访问下面地址到工信部申诉一下,申诉对象选择:运营商 https://yhssglxt.miit.gov.cn/web/ 。
2. 域名被运营商污染且被反诈中心拦截在确保域名内容正规,有ICP备案的前提下,联系反诈中心域名申诉电话:010-67825170 或 010-67825169 进行申诉。
3. 域名被劫持的情况下可以让受影响的访客修改设备上的DNS解析服务器地址到OpenDNS(208.67.222.222)或GoogleDNS(8.8.8.8)。
5. IP被封
如果网站使用海外服务器过程中违反中国相关法律法规,例如安装违法应用程序并对外提供服务,或网站包含敏感或违法内容,则有可能被长城防火墙(GWF)屏蔽。GFW在出境的网关上增加了一条路由规则,这样被屏蔽的IP地址无法正确的被送达,这就是IP被封。
检测方法:
Ping.pe 测试端口,中国大陆地区测试不通。
解决方法:
