Block truy cập hiệu quả hơn?

Alice4 · March 1, 2021, 1:22am

Như các bạn đã biết các nhà mạng việt nam giờ đã block truy cập vào các trang web đồi trụy. Tuy nhiên vẫn có cách để người dùng qua mặt đó là dùng ứng dụng goodbyedpi, nên em mạn phép được hỏi 1 số vấn đề xoay quanh việc chặn truy cập của người dùng:

Người dùng muốn truy cập vào 1 website nào đó thông qua domain name thì việc đầu tiên là người dùng phải phân giải tên miền đó ra IP address >> người dùng lách luật bằng cách cho trỏ DNS về server không block các tên miền đó. Tuy nhiên, em thắc mắc trong quá trình truyền dư liệu đi từ máy client >> server phải đi qua server của nhà mạng, vậy thì sao nhà mạng không kiểm tra luôn nội dung gói tin DNS đó nếu xuất hiện tên miền không đúng thì block gói tin đó luôn?
Theo như em biết về kiểu nghe lén thông tin man-in-the-middle, thì 1 attacker khi được kết nối vào 1 mạng thì họ có thể nghe lén được tát cả thông tin mà các client khác trao đổi. Vậy thì attacker có thể thay đổi được nội dung gói tin dns của client không?
Vd: client muốn truy cập đến daynhauhoc.com sẽ gửi request đến dns server để phân giải domain này. Lúc này attacker sẽ chặn gói tin response về và thay đổi địa chỉ IP thành 1 địa chỉ khác vậy là client kết nối đến 1 địa chỉ giả mạo đúng không ạ?

hacapam · February 28, 2021, 1:11pm

Đoạn này là sao mình không hiểu bạn, theo mình thì nó đi theo đường này: Browser <=> server nhà mạng <=> DNS . Thì cho dù domain đó sử dụng domain name server (DNS) nào cũng bị chặn. mình thì ví dụ Viettel đã chặn domain daynhauhoc.com rồi thì cho dù admin DNH có đổi DNS của namecheap, godday, mắt bão, …gì đi nữa thì cũng bị chặn hết.

Không được bạn ơi, người ta kết nối bằng HTTPS nên không xen giữa xem data được.

Mời bạn xem tiếp bình luận của cao nhân bên dưới

Alice4 · March 1, 2021, 1:19am

Bạn thử chưa?
Dùng Nslookup để tìm ip của 1 domain đi bạn sẽ thấy, nếu trỏ DNS về google thì có thể phân giải được tên miền something.com, còn để mặc định trỏ về DNS nhà mạng sẽ ko phân giải đc.

Dùng udp mà https gì vậy bạn?

hacapam · February 28, 2021, 1:52pm

Vậy cùng nhau hóng cao nhân thôi.
Theo mình biết thì nhà mạng chỉ biết IP nhận, IP gửi với mấy thông số trong header của request chứ nội dung bên trong không xem được.

Xemsix · February 28, 2021, 3:53pm

hóng luôn , lên mạng tìm hiểu thì dường như các firewall nó trust certificate của client thì thông qua đó có thể đọc được tất cả dữ liệu của client từ đó có thể đưa ra cách thức ngăn chặn các truy cập , DPI SSL

NobitaAndXuka · February 28, 2021, 4:08pm

Mình nghĩ là nhà mạng có thể biết nhưng không chặn vì để triển khai hệ thống chặn triệt để sẽ tốn tài nguyên, tốn chi phí vận hành, … nên chỉ chặn user bình thường thôi, còn user pro biết xài DNS, VPN, VPS, … thì thôi cho qua luôn ))

Alice4 · February 28, 2021, 5:18pm

có lẽ vậy …

superthin · March 1, 2021, 8:11am

Mình thấy ý kiến này có lý, VN mình chắc không có ý định làm một cái tường lửa kiểu TQ, quá tốn kém và không làm từ đầu thì giờ khó có thể. Việc nên làm là nhà nước minh bạch thì dân cũng chẳng có gì phải giấu diếm, có qua có lại. Còn mấy thằng thích làm mấy chuyện bí mật, bậy bạ, cứ cho ra đảo sống với nhau.