x*k
2 楼
大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
现仍然可以看有版权限制的电影。
下面是我的猜想
由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
子和letv的真实IP之间。
但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
包给国内的server(这个server不同于看电影时的server地址),这个包的payload部
分包含盒子的海外IP地址。但这个包被redirect到第三方server上,payload里的海外
IP地址被更改为国内IP地址后再发给最终的server。
随便搜了一下其中的原理,geek们可以继续dig,但希望所有使用改dns的人!!!小心!!!
使用你们的设备
http://www.mitbbs.co.uk/article_t/PDA/32297389.html
http://www.zhihu.com/question/21589005
一些帖子无警告内容,希望版主能做适当处理
http://www.mitbbs.com/article_t/PDA/32297077.html
http://www.mitbbs.com/article1/PDA/32236573_0_1.html
http://www.mitbbs.com/article/PDA/32304011_3.html
绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
现仍然可以看有版权限制的电影。
下面是我的猜想
由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
子和letv的真实IP之间。
但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
包给国内的server(这个server不同于看电影时的server地址),这个包的payload部
分包含盒子的海外IP地址。但这个包被redirect到第三方server上,payload里的海外
IP地址被更改为国内IP地址后再发给最终的server。
随便搜了一下其中的原理,geek们可以继续dig,但希望所有使用改dns的人!!!小心!!!
使用你们的设备
http://www.mitbbs.co.uk/article_t/PDA/32297389.html
http://www.zhihu.com/question/21589005
一些帖子无警告内容,希望版主能做适当处理
http://www.mitbbs.com/article_t/PDA/32297077.html
http://www.mitbbs.com/article1/PDA/32236573_0_1.html
http://www.mitbbs.com/article/PDA/32304011_3.html
m*e
3 楼
looks fresh for the summer. sure, why not? go ahead buy it.
g*t
4 楼
也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
切换wifi还是很简单的,
切换wifi还是很简单的,
s*n
5 楼
好看,可是怎么这么贵
u*d
6 楼
unlock youku 插件也不安全?
K*a
7 楼
挺好看的
c*i
8 楼
银行账户啥的不都是https加密的,它拦截了也没有用把.
s*s
9 楼
这个月初买过一个不同颜色的,税前57块(after 30% off)。
z*8
10 楼
什么乱七八糟的。。。
如果监听数据包就能破解账号 干嘛要搞这么复杂
如果监听数据包就能破解账号 干嘛要搞这么复杂
n*o
11 楼
looks cute~
p*m
12 楼
Starting Nmap 6.40 ( http://nmap.org ) at 2013-11-15 12:42 Eastern Standard Time
NSE: Loaded 110 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 12:42
Scanning 192.241.222.103 [4 ports]
Completed Ping Scan at 12:42, 0.16s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:42
Completed Parallel DNS resolution of 1 host. at 12:42, 0.08s elapsed
Initiating SYN Stealth Scan at 12:42
Scanning karlcheong.zhuzhu.org (192.241.222.103) [1000 ports]
Discovered open port 80/tcp on 192.241.222.103
Discovered open port 8000/tcp on 192.241.222.103
Completed SYN Stealth Scan at 12:42, 4.34s elapsed (1000 total ports)
Initiating Service scan at 12:42
Scanning 2 services on karlcheong.zhuzhu.org (192.241.222.103)
Completed Service scan at 12:42, 22.33s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against karlcheong.zhuzhu.org (192.241.222.
103)
Retrying OS detection (try #2) against karlcheong.zhuzhu.org (192.241.222.
103)
Initiating Traceroute at 12:42
Completed Traceroute at 12:42, 0.02s elapsed
Initiating Parallel DNS resolution of 3 hosts. at 12:42
Completed Parallel DNS resolution of 3 hosts. at 12:42, 0.00s elapsed
NSE: Script scanning 192.241.222.103.
Initiating NSE at 12:42
Completed NSE at 12:42, 1.67s elapsed
Nmap scan report for karlcheong.zhuzhu.org (192.241.222.103)
Host is up (0.016s latency).
Not shown: 972 filtered ports, 26 closed ports
PORT STATE SERVICE VERSION
80/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
8000/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
Device type: WAP|general purpose
Running (JUST GUESSING): Linksys embedded (93%), Linux 2.6.X (89%), Vodafone
embedded (86%)
OS CPE: cpe:/h:linksys:befw11s4 cpe:/o:linux:linux_kernel:2.6 cpe:/h:
vodafone:easybox_802
Aggressive OS guesses: Linksys BEFW11S4 WAP (93%), Linux 2.6.32 (89%),
Vodafone EasyBox 802 wireless ADSL router (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 65.043 days (since Wed Sep 11 12:40:51 2013)
Network Distance: 3 hops
TCP Sequence Prediction: Difficulty=256 (Good luck!)
IP ID Sequence Generation: All zeros
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
3 3.00 ms karlcheong.zhuzhu.org (192.241.222.103)
NSE: Script Post-scanning.
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.64 seconds
Raw packets sent: 2037 (94.120KB) | Rcvd: 67 (2.976KB)
NSE: Loaded 110 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 12:42
Scanning 192.241.222.103 [4 ports]
Completed Ping Scan at 12:42, 0.16s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:42
Completed Parallel DNS resolution of 1 host. at 12:42, 0.08s elapsed
Initiating SYN Stealth Scan at 12:42
Scanning karlcheong.zhuzhu.org (192.241.222.103) [1000 ports]
Discovered open port 80/tcp on 192.241.222.103
Discovered open port 8000/tcp on 192.241.222.103
Completed SYN Stealth Scan at 12:42, 4.34s elapsed (1000 total ports)
Initiating Service scan at 12:42
Scanning 2 services on karlcheong.zhuzhu.org (192.241.222.103)
Completed Service scan at 12:42, 22.33s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against karlcheong.zhuzhu.org (192.241.222.
103)
Retrying OS detection (try #2) against karlcheong.zhuzhu.org (192.241.222.
103)
Initiating Traceroute at 12:42
Completed Traceroute at 12:42, 0.02s elapsed
Initiating Parallel DNS resolution of 3 hosts. at 12:42
Completed Parallel DNS resolution of 3 hosts. at 12:42, 0.00s elapsed
NSE: Script scanning 192.241.222.103.
Initiating NSE at 12:42
Completed NSE at 12:42, 1.67s elapsed
Nmap scan report for karlcheong.zhuzhu.org (192.241.222.103)
Host is up (0.016s latency).
Not shown: 972 filtered ports, 26 closed ports
PORT STATE SERVICE VERSION
80/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
8000/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
Device type: WAP|general purpose
Running (JUST GUESSING): Linksys embedded (93%), Linux 2.6.X (89%), Vodafone
embedded (86%)
OS CPE: cpe:/h:linksys:befw11s4 cpe:/o:linux:linux_kernel:2.6 cpe:/h:
vodafone:easybox_802
Aggressive OS guesses: Linksys BEFW11S4 WAP (93%), Linux 2.6.32 (89%),
Vodafone EasyBox 802 wireless ADSL router (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 65.043 days (since Wed Sep 11 12:40:51 2013)
Network Distance: 3 hops
TCP Sequence Prediction: Difficulty=256 (Good luck!)
IP ID Sequence Generation: All zeros
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
3 3.00 ms karlcheong.zhuzhu.org (192.241.222.103)
NSE: Script Post-scanning.
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.64 seconds
Raw packets sent: 2037 (94.120KB) | Rcvd: 67 (2.976KB)
w*8
13 楼
挺好看的
x*k
14 楼
这是详细解释,自己判断
http://igfw.net/archives/10117
【在 u****d 的大作中提到】
: unlock youku 插件也不安全?
http://igfw.net/archives/10117
【在 u****d 的大作中提到】
: unlock youku 插件也不安全?
V*8
15 楼
cute, but $120 is kind expensive, plus this one doesnt hold much stuff.
c*7
16 楼
他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
学名DNS spoofing.
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
学名DNS spoofing.
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
s*s
17 楼
这个钱包还是挺实用的。
背后好像有个零钱袋,装卡的数量也正常,而且,搭扣的设计使得钱包装比较多东西的
时候不会弹开(相比有些三层折叠的钱包)。
背后好像有个零钱袋,装卡的数量也正常,而且,搭扣的设计使得钱包装比较多东西的
时候不会弹开(相比有些三层折叠的钱包)。
x*k
18 楼
一般这不会有效,因为证书验证会失败,但
1. 很多用户并不了解技术,
2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
【在 c****7 的大作中提到】
: 他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
: 学名DNS spoofing.
1. 很多用户并不了解技术,
2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
【在 c****7 的大作中提到】
: 他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
: 学名DNS spoofing.
l*a
19 楼
好靓丽的颜色,喜欢极了。
m*s
20 楼
事实是这样的。
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
g*u
21 楼
好看 就是贵了
B*o
22 楼
小米盒子的好处就体现出来了,可以在设定里直接指定DNS,不用在router上改。
b*G
23 楼
好看啊,呵呵,就是舍不得买。
【在 t*********e 的大作中提到】
: 这个粉红色的coach钱包$120.
: 有点动心,jm们给点意见吧,如果大家觉得它丑,我就不买了。
【在 t*********e 的大作中提到】
: 这个粉红色的coach钱包$120.
: 有点动心,jm们给点意见吧,如果大家觉得它丑,我就不买了。
S*s
24 楼
这个192.241.222.103是谁维护的?cnnic的证书拥有者不会对我的银行账号感兴趣吧
b*G
25 楼
好看啊,呵呵,就是舍不得买。
【在 t*********e 的大作中提到】
: 这个粉红色的coach钱包$120.
: 有点动心,jm们给点意见吧,如果大家觉得它丑,我就不买了。
【在 t*********e 的大作中提到】
: 这个粉红色的coach钱包$120.
: 有点动心,jm们给点意见吧,如果大家觉得它丑,我就不买了。
e*n
26 楼
dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
v*8
27 楼
好看
f*5
28 楼
浏览器会给证书警告。假的mitbbs倒是不容易发现。
【在 e******n 的大作中提到】
: dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
: 去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
: 站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
【在 e******n 的大作中提到】
: dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
: 去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
: 站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
a*t
29 楼
You can buy the skinny mini purse with the same color, $38.
e*n
30 楼
不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
com
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
com
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
t*e
31 楼
mm能给个关于skinny mini purse的连接吗?或者告诉我哪里可以买到也行啊,谢谢了
R*a
32 楼
问题是大家一般直接敲银行网站by default是没有 https,
真的网站会给你redirect到https,但是假的网站可以干脆就直接http,
用户体验上没区别,除非你每次都盯一下浏览器上那个secure标志。
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
真的网站会给你redirect到https,但是假的网站可以干脆就直接http,
用户体验上没区别,除非你每次都盯一下浏览器上那个secure标志。
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
W*t
33 楼
好看
S*s
34 楼
你这又不是域名劫持。跟上面说的不是一回事。
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
e*s
35 楼
也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
chrome或者Firefox插件都可以干同样甚至更恶劣的事
chrome或者Firefox插件都可以干同样甚至更恶劣的事
f*5
36 楼
youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
x*k
37 楼
anyway,我希望版主能将这个帖子置顶,并将其他没有警告的帖子做适当处理。
我个人做IT方面的工作,也是网银被盗的受害者,所以大家不要take any chance,以
为这种事情不会落在自己头上。小心为好。
我个人做IT方面的工作,也是网银被盗的受害者,所以大家不要take any chance,以
为这种事情不会落在自己头上。小心为好。
e*n
38 楼
dns是可以返回域名的。
这个过程就是citibank -> c1tibank -> ip -> fake website
什么警告都不会有。
【在 S*******s 的大作中提到】
: 你这又不是域名劫持。跟上面说的不是一回事。
这个过程就是citibank -> c1tibank -> ip -> fake website
什么警告都不会有。
【在 S*******s 的大作中提到】
: 你这又不是域名劫持。跟上面说的不是一回事。
x*k
39 楼
开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
放在open source里得不偿失(NSA级别的另算)。
但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
了个trap在那里?
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
放在open source里得不偿失(NSA级别的另算)。
但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
了个trap在那里?
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
c*7
40 楼
常用伎俩是:www.citibank.com.aa.bb/login
你没仔细看就中奖了,前些年the great firewall用这招破解https的gmail。
你没仔细看就中奖了,前些年the great firewall用这招破解https的gmail。
w*e
41 楼
我看过unblock youku源代码,它有三招
1. http header里加x-forwarded-for (精简模式)
2. 利用网友hack了sogou浏览器代理的成果,用sogou浏览器官方的“加速代理”做转
发(普通模式)
3. 用自己的服务器做代理(转发模式)
前两招基本是安全的,怕不安全别用第三招就是了。
【在 f*******5 的大作中提到】
: youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
1. http header里加x-forwarded-for (精简模式)
2. 利用网友hack了sogou浏览器代理的成果,用sogou浏览器官方的“加速代理”做转
发(普通模式)
3. 用自己的服务器做代理(转发模式)
前两招基本是安全的,怕不安全别用第三招就是了。
【在 f*******5 的大作中提到】
: youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
e*s
42 楼
用动机来讨论的话开发一个addon需要花费的精力应该比架DNS还要高吧
至于开源……首先不是所有addon都开源,其次我相信90%以上用addon的人不会去看源
代码,顶多能上网查一下其他人的review就不错了
【在 x****k 的大作中提到】
: 开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
: 代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
: 放在open source里得不偿失(NSA级别的另算)。
: 但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
: 钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
: 了个trap在那里?
至于开源……首先不是所有addon都开源,其次我相信90%以上用addon的人不会去看源
代码,顶多能上网查一下其他人的review就不错了
【在 x****k 的大作中提到】
: 开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
: 代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
: 放在open source里得不偿失(NSA级别的另算)。
: 但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
: 钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
: 了个trap在那里?
w*e
43 楼
我专业是做networking的,总得来说改DNS肯定有风险,别人想搞死你的方法千千万,
想得到的想不到的防不胜防。但想获得利益本来就有risk,就像下个破解版软件谁知道
人家有么有留后门?
看了一眼,这个dns服务器80跳转到unblock youku代码页面。如果是同一个作者,我还
是倾向于相信他的。(其实我觉得他靠捐款应该也拿了一点点小钱足以维持服务器吧?)
想得到的想不到的防不胜防。但想获得利益本来就有risk,就像下个破解版软件谁知道
人家有么有留后门?
看了一眼,这个dns服务器80跳转到unblock youku代码页面。如果是同一个作者,我还
是倾向于相信他的。(其实我觉得他靠捐款应该也拿了一点点小钱足以维持服务器吧?)
h*n
44 楼
同意,我的unlock youku只在chrome上装
chrome之用来看视频
chrome之用来看视频
e*s
45 楼
当然同意这年头怎么小心都不为过
用chrome的incognito或者IE的private模式上网银,删掉CNNIC根证书,开启二次认证
……
这些才是保证安全的方法
我是觉得不必特意强调DNS的危险性,谈虎色变,其实装来源不明的软件什么的更危险
用chrome的incognito或者IE的private模式上网银,删掉CNNIC根证书,开启二次认证
……
这些才是保证安全的方法
我是觉得不必特意强调DNS的危险性,谈虎色变,其实装来源不明的软件什么的更危险
c*l
46 楼
用域名变形虫与楼顶的DNS挟持无关
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
c*l
47 楼
直接返回citibank -> ip -> fake website 岂不是更直接且不容易被发现?
另外,如果你用过citibank就知道,黑客如果想攻击,一般会从
accountonline.com上动脑筋,
【在 e******n 的大作中提到】
: dns是可以返回域名的。
: 这个过程就是citibank -> c1tibank -> ip -> fake website
: 什么警告都不会有。
另外,如果你用过citibank就知道,黑客如果想攻击,一般会从
accountonline.com上动脑筋,
【在 e******n 的大作中提到】
: dns是可以返回域名的。
: 这个过程就是citibank -> c1tibank -> ip -> fake website
: 什么警告都不会有。
i*8
48 楼
说这么多话tcpdump一下不就结了?
自称搞IT的应该不难吧
自称搞IT的应该不难吧
g*t
49 楼
dns还是黑,还是很厉害,linode就是这样被黑,有史最大黑客事件,
http://www.mitbbs.com/article0/Hardware/31743361_0.html
http://www.mitbbs.com/article0/Hardware/31743361_0.html
a*n
50 楼
why I can not use dns on android system?
p*y
51 楼
dns 可以带你去钓鱼网站
【在 z****8 的大作中提到】
: 什么乱七八糟的。。。
: 如果监听数据包就能破解账号 干嘛要搞这么复杂
【在 z****8 的大作中提到】
: 什么乱七八糟的。。。
: 如果监听数据包就能破解账号 干嘛要搞这么复杂
p*y
52 楼
假网站不需要用https来揭发自己。细心的骗不倒,骗粗心和外行就够了
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
t*1
53 楼
这个DNS是谁弄的?
l*g
54 楼
只要做两个virtual wlan就行了
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
x*k
55 楼
大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
现仍然可以看有版权限制的电影。
下面是我的猜想
由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
子和letv的真实IP之间。
但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
包给国内的server(这个server不同于看电影时的server地址),这个包的payload部
分包含盒子的海外IP地址。但这个包被redirect到第三方server上,payload里的海外
IP地址被更改为国内IP地址后再发给最终的server。
随便搜了一下其中的原理,geek们可以继续dig,但希望所有使用改dns的人!!!小心!!!
使用你们的设备
http://www.mitbbs.co.uk/article_t/PDA/32297389.html
http://www.zhihu.com/question/21589005
一些帖子无警告内容,希望版主能做适当处理
http://www.mitbbs.com/article_t/PDA/32297077.html
http://www.mitbbs.com/article1/PDA/32236573_0_1.html
http://www.mitbbs.com/article/PDA/32304011_3.html
=============================
update:
开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
放在open source里得不偿失(NSA级别的另算)。
但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
了个trap在那里?
anyway,我希望版主能将这个帖子置顶,并将其他没有警告的帖子做适当处理。
我个人做IT方面的工作,也是网银被盗的受害者,所以大家不要take any chance,以
为这种事情不会落在自己头上。小心为好。
绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
现仍然可以看有版权限制的电影。
下面是我的猜想
由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
子和letv的真实IP之间。
但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
包给国内的server(这个server不同于看电影时的server地址),这个包的payload部
分包含盒子的海外IP地址。但这个包被redirect到第三方server上,payload里的海外
IP地址被更改为国内IP地址后再发给最终的server。
随便搜了一下其中的原理,geek们可以继续dig,但希望所有使用改dns的人!!!小心!!!
使用你们的设备
http://www.mitbbs.co.uk/article_t/PDA/32297389.html
http://www.zhihu.com/question/21589005
一些帖子无警告内容,希望版主能做适当处理
http://www.mitbbs.com/article_t/PDA/32297077.html
http://www.mitbbs.com/article1/PDA/32236573_0_1.html
http://www.mitbbs.com/article/PDA/32304011_3.html
=============================
update:
开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
放在open source里得不偿失(NSA级别的另算)。
但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
了个trap在那里?
anyway,我希望版主能将这个帖子置顶,并将其他没有警告的帖子做适当处理。
我个人做IT方面的工作,也是网银被盗的受害者,所以大家不要take any chance,以
为这种事情不会落在自己头上。小心为好。
g*t
56 楼
也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
切换wifi还是很简单的,
切换wifi还是很简单的,
u*d
57 楼
unlock youku 插件也不安全?
c*i
58 楼
银行账户啥的不都是https加密的,它拦截了也没有用把.
z*8
59 楼
什么乱七八糟的。。。
如果监听数据包就能破解账号 干嘛要搞这么复杂
如果监听数据包就能破解账号 干嘛要搞这么复杂
p*m
60 楼
Starting Nmap 6.40 ( http://nmap.org ) at 2013-11-15 12:42 Eastern Standard Time
NSE: Loaded 110 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 12:42
Scanning 192.241.222.103 [4 ports]
Completed Ping Scan at 12:42, 0.16s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:42
Completed Parallel DNS resolution of 1 host. at 12:42, 0.08s elapsed
Initiating SYN Stealth Scan at 12:42
Scanning karlcheong.zhuzhu.org (192.241.222.103) [1000 ports]
Discovered open port 80/tcp on 192.241.222.103
Discovered open port 8000/tcp on 192.241.222.103
Completed SYN Stealth Scan at 12:42, 4.34s elapsed (1000 total ports)
Initiating Service scan at 12:42
Scanning 2 services on karlcheong.zhuzhu.org (192.241.222.103)
Completed Service scan at 12:42, 22.33s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against karlcheong.zhuzhu.org (192.241.222.
103)
Retrying OS detection (try #2) against karlcheong.zhuzhu.org (192.241.222.
103)
Initiating Traceroute at 12:42
Completed Traceroute at 12:42, 0.02s elapsed
Initiating Parallel DNS resolution of 3 hosts. at 12:42
Completed Parallel DNS resolution of 3 hosts. at 12:42, 0.00s elapsed
NSE: Script scanning 192.241.222.103.
Initiating NSE at 12:42
Completed NSE at 12:42, 1.67s elapsed
Nmap scan report for karlcheong.zhuzhu.org (192.241.222.103)
Host is up (0.016s latency).
Not shown: 972 filtered ports, 26 closed ports
PORT STATE SERVICE VERSION
80/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
8000/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
Device type: WAP|general purpose
Running (JUST GUESSING): Linksys embedded (93%), Linux 2.6.X (89%), Vodafone
embedded (86%)
OS CPE: cpe:/h:linksys:befw11s4 cpe:/o:linux:linux_kernel:2.6 cpe:/h:
vodafone:easybox_802
Aggressive OS guesses: Linksys BEFW11S4 WAP (93%), Linux 2.6.32 (89%),
Vodafone EasyBox 802 wireless ADSL router (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 65.043 days (since Wed Sep 11 12:40:51 2013)
Network Distance: 3 hops
TCP Sequence Prediction: Difficulty=256 (Good luck!)
IP ID Sequence Generation: All zeros
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
3 3.00 ms karlcheong.zhuzhu.org (192.241.222.103)
NSE: Script Post-scanning.
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.64 seconds
Raw packets sent: 2037 (94.120KB) | Rcvd: 67 (2.976KB)
NSE: Loaded 110 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Ping Scan at 12:42
Scanning 192.241.222.103 [4 ports]
Completed Ping Scan at 12:42, 0.16s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 12:42
Completed Parallel DNS resolution of 1 host. at 12:42, 0.08s elapsed
Initiating SYN Stealth Scan at 12:42
Scanning karlcheong.zhuzhu.org (192.241.222.103) [1000 ports]
Discovered open port 80/tcp on 192.241.222.103
Discovered open port 8000/tcp on 192.241.222.103
Completed SYN Stealth Scan at 12:42, 4.34s elapsed (1000 total ports)
Initiating Service scan at 12:42
Scanning 2 services on karlcheong.zhuzhu.org (192.241.222.103)
Completed Service scan at 12:42, 22.33s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against karlcheong.zhuzhu.org (192.241.222.
103)
Retrying OS detection (try #2) against karlcheong.zhuzhu.org (192.241.222.
103)
Initiating Traceroute at 12:42
Completed Traceroute at 12:42, 0.02s elapsed
Initiating Parallel DNS resolution of 3 hosts. at 12:42
Completed Parallel DNS resolution of 3 hosts. at 12:42, 0.00s elapsed
NSE: Script scanning 192.241.222.103.
Initiating NSE at 12:42
Completed NSE at 12:42, 1.67s elapsed
Nmap scan report for karlcheong.zhuzhu.org (192.241.222.103)
Host is up (0.016s latency).
Not shown: 972 filtered ports, 26 closed ports
PORT STATE SERVICE VERSION
80/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
8000/tcp open http-proxy Privoxy http proxy 3.0.19
|_http-methods: No Allow or Public header in OPTIONS response (status code
403)
|_http-title: Error 403 Requested addresses denied by Proxy - Unblock Youku
...
Device type: WAP|general purpose
Running (JUST GUESSING): Linksys embedded (93%), Linux 2.6.X (89%), Vodafone
embedded (86%)
OS CPE: cpe:/h:linksys:befw11s4 cpe:/o:linux:linux_kernel:2.6 cpe:/h:
vodafone:easybox_802
Aggressive OS guesses: Linksys BEFW11S4 WAP (93%), Linux 2.6.32 (89%),
Vodafone EasyBox 802 wireless ADSL router (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 65.043 days (since Wed Sep 11 12:40:51 2013)
Network Distance: 3 hops
TCP Sequence Prediction: Difficulty=256 (Good luck!)
IP ID Sequence Generation: All zeros
TRACEROUTE (using port 80/tcp)
HOP RTT ADDRESS
3 3.00 ms karlcheong.zhuzhu.org (192.241.222.103)
NSE: Script Post-scanning.
Read data files from: C:\Program Files (x86)\Nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 35.64 seconds
Raw packets sent: 2037 (94.120KB) | Rcvd: 67 (2.976KB)
x*k
61 楼
这是详细解释,自己判断
http://igfw.net/archives/10117
【在 u****d 的大作中提到】
: unlock youku 插件也不安全?
http://igfw.net/archives/10117
【在 u****d 的大作中提到】
: unlock youku 插件也不安全?
c*7
62 楼
他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
学名DNS spoofing.
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
学名DNS spoofing.
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
x*k
63 楼
一般这不会有效,因为证书验证会失败,但
1. 很多用户并不了解技术,
2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
【在 c****7 的大作中提到】
: 他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
: 学名DNS spoofing.
1. 很多用户并不了解技术,
2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
【在 c****7 的大作中提到】
: 他会把你指向一个fake的网站,然后偷密码。 大陆运营商已经熟练运用多年了。
: 学名DNS spoofing.
m*s
64 楼
事实是这样的。
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
B*o
65 楼
小米盒子的好处就体现出来了,可以在设定里直接指定DNS,不用在router上改。
S*s
66 楼
这个192.241.222.103是谁维护的?cnnic的证书拥有者不会对我的银行账号感兴趣吧
e*n
67 楼
dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
【在 c*****i 的大作中提到】
: 银行账户啥的不都是https加密的,它拦截了也没有用把.
f*5
68 楼
浏览器会给证书警告。假的mitbbs倒是不容易发现。
【在 e******n 的大作中提到】
: dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
: 去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
: 站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
【在 e******n 的大作中提到】
: dns很厉害的,你用了他的dns,他告诉你的bank网站ip就有可能是个假网站,但是看上
: 去和真的一模一样,也用https,你输完用户名,密码后假网站就获得到了。一般假网
: 站会告诉你密码错误,做的好的会把你的信息转到真的网站登录,完全发现不了。
e*n
69 楼
不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
com
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
com
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
R*a
70 楼
问题是大家一般直接敲银行网站by default是没有 https,
真的网站会给你redirect到https,但是假的网站可以干脆就直接http,
用户体验上没区别,除非你每次都盯一下浏览器上那个secure标志。
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
真的网站会给你redirect到https,但是假的网站可以干脆就直接http,
用户体验上没区别,除非你每次都盯一下浏览器上那个secure标志。
【在 f*******5 的大作中提到】
: 浏览器会给证书警告。假的mitbbs倒是不容易发现。
S*s
71 楼
你这又不是域名劫持。跟上面说的不是一回事。
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
e*s
72 楼
也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
chrome或者Firefox插件都可以干同样甚至更恶劣的事
chrome或者Firefox插件都可以干同样甚至更恶劣的事
f*5
73 楼
youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
x*k
74 楼
anyway,我希望版主能将这个帖子置顶,并将其他没有警告的帖子做适当处理。
我个人做IT方面的工作,也是网银被盗的受害者,所以大家不要take any chance,以
为这种事情不会落在自己头上。小心为好。
我个人做IT方面的工作,也是网银被盗的受害者,所以大家不要take any chance,以
为这种事情不会落在自己头上。小心为好。
e*n
75 楼
dns是可以返回域名的。
这个过程就是citibank -> c1tibank -> ip -> fake website
什么警告都不会有。
【在 S*******s 的大作中提到】
: 你这又不是域名劫持。跟上面说的不是一回事。
这个过程就是citibank -> c1tibank -> ip -> fake website
什么警告都不会有。
【在 S*******s 的大作中提到】
: 你这又不是域名劫持。跟上面说的不是一回事。
x*k
76 楼
开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
放在open source里得不偿失(NSA级别的另算)。
但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
了个trap在那里?
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
放在open source里得不偿失(NSA级别的另算)。
但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
了个trap在那里?
【在 e*********s 的大作中提到】
: 也没啥必要大惊小怪,改DNS不比装youku unblocker更不安全。理论上安装任何一个
: chrome或者Firefox插件都可以干同样甚至更恶劣的事
c*7
77 楼
常用伎俩是:www.citibank.com.aa.bb/login
你没仔细看就中奖了,前些年the great firewall用这招破解https的gmail。
你没仔细看就中奖了,前些年the great firewall用这招破解https的gmail。
w*e
78 楼
我看过unblock youku源代码,它有三招
1. http header里加x-forwarded-for (精简模式)
2. 利用网友hack了sogou浏览器代理的成果,用sogou浏览器官方的“加速代理”做转
发(普通模式)
3. 用自己的服务器做代理(转发模式)
前两招基本是安全的,怕不安全别用第三招就是了。
【在 f*******5 的大作中提到】
: youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
1. http header里加x-forwarded-for (精简模式)
2. 利用网友hack了sogou浏览器代理的成果,用sogou浏览器官方的“加速代理”做转
发(普通模式)
3. 用自己的服务器做代理(转发模式)
前两招基本是安全的,怕不安全别用第三招就是了。
【在 f*******5 的大作中提到】
: youku unblocker看实现,它如果只是把几个视频网站的dns请求发过去,危险性很小。
e*s
79 楼
用动机来讨论的话开发一个addon需要花费的精力应该比架DNS还要高吧
至于开源……首先不是所有addon都开源,其次我相信90%以上用addon的人不会去看源
代码,顶多能上网查一下其他人的review就不错了
【在 x****k 的大作中提到】
: 开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
: 代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
: 放在open source里得不偿失(NSA级别的另算)。
: 但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
: 钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
: 了个trap在那里?
至于开源……首先不是所有addon都开源,其次我相信90%以上用addon的人不会去看源
代码,顶多能上网查一下其他人的review就不错了
【在 x****k 的大作中提到】
: 开源的addon有问题的可能性要小很多,因为代码开放,有很多方法检查。就算有恶意
: 代码,一旦出问题,也很快就会被查出来。所以从cost和return的角度将,把恶意代码
: 放在open source里得不偿失(NSA级别的另算)。
: 但DNS就不同了,人家为什么架个DNS在那里,还把地址都公布出来。server维护都是要
: 钱的。是想当活雷锋吗?还是通过给视频服务网站增加流量来获取另外的回报?还是做
: 了个trap在那里?
w*e
80 楼
我专业是做networking的,总得来说改DNS肯定有风险,别人想搞死你的方法千千万,
想得到的想不到的防不胜防。但想获得利益本来就有risk,就像下个破解版软件谁知道
人家有么有留后门?
看了一眼,这个dns服务器80跳转到unblock youku代码页面。如果是同一个作者,我还
是倾向于相信他的。(其实我觉得他靠捐款应该也拿了一点点小钱足以维持服务器吧?)
想得到的想不到的防不胜防。但想获得利益本来就有risk,就像下个破解版软件谁知道
人家有么有留后门?
看了一眼,这个dns服务器80跳转到unblock youku代码页面。如果是同一个作者,我还
是倾向于相信他的。(其实我觉得他靠捐款应该也拿了一点点小钱足以维持服务器吧?)
h*n
81 楼
同意,我的unlock youku只在chrome上装
chrome之用来看视频
chrome之用来看视频
e*s
82 楼
当然同意这年头怎么小心都不为过
用chrome的incognito或者IE的private模式上网银,删掉CNNIC根证书,开启二次认证
……
这些才是保证安全的方法
我是觉得不必特意强调DNS的危险性,谈虎色变,其实装来源不明的软件什么的更危险
用chrome的incognito或者IE的private模式上网银,删掉CNNIC根证书,开启二次认证
……
这些才是保证安全的方法
我是觉得不必特意强调DNS的危险性,谈虎色变,其实装来源不明的软件什么的更危险
c*l
83 楼
用域名变形虫与楼顶的DNS挟持无关
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
【在 e******n 的大作中提到】
: 不,如果他的网址和真的差不多,但是是另外一个,什么警告都没有。比如c1tibank.
: com
c*l
84 楼
直接返回citibank -> ip -> fake website 岂不是更直接且不容易被发现?
另外,如果你用过citibank就知道,黑客如果想攻击,一般会从
accountonline.com上动脑筋,
【在 e******n 的大作中提到】
: dns是可以返回域名的。
: 这个过程就是citibank -> c1tibank -> ip -> fake website
: 什么警告都不会有。
另外,如果你用过citibank就知道,黑客如果想攻击,一般会从
accountonline.com上动脑筋,
【在 e******n 的大作中提到】
: dns是可以返回域名的。
: 这个过程就是citibank -> c1tibank -> ip -> fake website
: 什么警告都不会有。
i*8
85 楼
说这么多话tcpdump一下不就结了?
自称搞IT的应该不难吧
自称搞IT的应该不难吧
g*t
86 楼
dns还是黑,还是很厉害,linode就是这样被黑,有史最大黑客事件,
http://www.mitbbs.com/article0/Hardware/31743361_0.html
http://www.mitbbs.com/article0/Hardware/31743361_0.html
a*n
87 楼
why I can not use dns on android system?
p*y
88 楼
dns 可以带你去钓鱼网站
【在 z****8 的大作中提到】
: 什么乱七八糟的。。。
: 如果监听数据包就能破解账号 干嘛要搞这么复杂
【在 z****8 的大作中提到】
: 什么乱七八糟的。。。
: 如果监听数据包就能破解账号 干嘛要搞这么复杂
p*y
89 楼
假网站不需要用https来揭发自己。细心的骗不倒,骗粗心和外行就够了
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
吗?
【在 x****k 的大作中提到】
: 一般这不会有效,因为证书验证会失败,但
: 1. 很多用户并不了解技术,
: 2. 万恶的cnnic的证书已经被包含到主流浏览器中,大部分人都没有将去去除
: 3. 浏览器的0day漏洞。黑市上这种漏洞标价好几万,那些买的人都仅仅是为了好玩吗?
t*1
90 楼
这个DNS是谁弄的?
l*g
91 楼
只要做两个virtual wlan就行了
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
m*o
92 楼
unblock youku和http://yo.uku.im/proxy.pac(同一个作者把)都是用proxy auto config只在request视频真实地址时才用代理。你其他的地址它不会拦截。
k*y
93 楼
mark
m*o
94 楼
unblock youku和http://yo.uku.im/proxy.pac(同一个作者把)都是用proxy auto config只在request视频真实地址时才用代理。你其他的地址它不会拦截。
k*y
95 楼
mark
h*u
96 楼
那如果我只改小米盒子的dns设置,不改router的,会对同一个网络下的的其他机子带
来安全问题吗?
来安全问题吗?
i*c
97 楼
router上用双ssid就可行了。
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
f*o
98 楼
no
【在 h*u 的大作中提到】
: 那如果我只改小米盒子的dns设置,不改router的,会对同一个网络下的的其他机子带
: 来安全问题吗?
h*u
99 楼
那还是小米盒子好啊。我就放心大胆的dns大法了 :)
Thanks, fginao.
【在 f****o 的大作中提到】
:
: no
Thanks, fginao.
【在 f****o 的大作中提到】
:
: no
L*d
100 楼
不用在router上改,只在盒子上改,并且不要用改了dns的盒子去管理银行账户,能有
什么危害呢?
至于那个dns的拥有者,大不了可以收集用户信息做点大数据看看大家都是去了哪些视
频站点。who cares?
并不是小米盒子可以改dns. 是盒子都可以改,是android都可以改,是个OS都可以改。
在设置网络的地方,打开高级选项就可以了。
什么危害呢?
至于那个dns的拥有者,大不了可以收集用户信息做点大数据看看大家都是去了哪些视
频站点。who cares?
并不是小米盒子可以改dns. 是盒子都可以改,是android都可以改,是个OS都可以改。
在设置网络的地方,打开高级选项就可以了。
m*e
101 楼
这就是DNS劫持的典型“良性”应用
妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
都是基于地址验证,dns都劫持了,啥都挡不住
DNS。
【在 x****k 的大作中提到】
: 大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
: 绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
: 账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
: letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
: 192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
: 现仍然可以看有版权限制的电影。
: 下面是我的猜想
: 由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
: 子和letv的真实IP之间。
: 但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
都是基于地址验证,dns都劫持了,啥都挡不住
DNS。
【在 x****k 的大作中提到】
: 大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
: 绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
: 账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
: letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
: 192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
: 现仍然可以看有版权限制的电影。
: 下面是我的猜想
: 由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
: 子和letv的真实IP之间。
: 但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
s*i
102 楼
router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
,里边不知道有啥东西,只有自求多福了。
,里边不知道有啥东西,只有自求多福了。
b*n
103 楼
有杀毒软件,不会检测不到吧?
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
w*y
104 楼
没有根CA的private key怎么办
【在 m**********e 的大作中提到】
: 这就是DNS劫持的典型“良性”应用
: 妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
: 楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
: 都是基于地址验证,dns都劫持了,啥都挡不住
:
: DNS。
【在 m**********e 的大作中提到】
: 这就是DNS劫持的典型“良性”应用
: 妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
: 楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
: 都是基于地址验证,dns都劫持了,啥都挡不住
:
: DNS。
s*i
105 楼
有些东西不是病毒啊,比如安全漏洞。
【在 b*****n 的大作中提到】
: 有杀毒软件,不会检测不到吧?
【在 b*****n 的大作中提到】
: 有杀毒软件,不会检测不到吧?
m*e
106 楼
dns都被劫持了,还怕个啥?
你可以设个假的root ca server,无论谁发请求,都说证书是对的。
这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
【在 w****y 的大作中提到】
: 没有根CA的private key怎么办
你可以设个假的root ca server,无论谁发请求,都说证书是对的。
这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
【在 w****y 的大作中提到】
: 没有根CA的private key怎么办
r*i
107 楼
根CA是浏览器验证的吧。怕就拍CNNIC这种乱发证书的。不然浏览器还是会检测吧。
w*y
108 楼
与root CA的通讯也是加密的,包括“说证书是对的”这件事。root CA的public key是
浏览器内置或者系统自带的,你搞个fake root CA,没有丫的private key,根本没法
相应请求“说证书是对的”。你没搞懂?
【在 m**********e 的大作中提到】
: dns都被劫持了,还怕个啥?
: 你可以设个假的root ca server,无论谁发请求,都说证书是对的。
: 这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
浏览器内置或者系统自带的,你搞个fake root CA,没有丫的private key,根本没法
相应请求“说证书是对的”。你没搞懂?
【在 m**********e 的大作中提到】
: dns都被劫持了,还怕个啥?
: 你可以设个假的root ca server,无论谁发请求,都说证书是对的。
: 这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
t*y
109 楼
嗯。问题是广电除了通知后,很多APP的官网,上面都没有TV版的APP了。我的TV版的
APP(除了VST和泰杰),都是从沙发网,或者电视家网上下的。但愿这两个网站用的人
多,没有问题。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
APP(除了VST和泰杰),都是从沙发网,或者电视家网上下的。但愿这两个网站用的人
多,没有问题。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
t*y
110 楼
盒子上改DNS,如果没有登录帐号的APP,就是看看片子,我想无所谓吧
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
b*0
111 楼
Nobody care untill they lost money.
h*u
112 楼
那如果我只改小米盒子的dns设置,不改router的,会对同一个网络下的的其他机子带
来安全问题吗?
来安全问题吗?
i*c
113 楼
router上用双ssid就可行了。
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
【在 g*******t 的大作中提到】
: 也有一个简单办法, 搞2个wifi router,第二个专门看国内tv,
: 切换wifi还是很简单的,
f*o
114 楼
no
【在 h*u 的大作中提到】
: 那如果我只改小米盒子的dns设置,不改router的,会对同一个网络下的的其他机子带
: 来安全问题吗?
h*u
115 楼
那还是小米盒子好啊。我就放心大胆的dns大法了 :)
Thanks, fginao.
【在 f****o 的大作中提到】
:
: no
Thanks, fginao.
【在 f****o 的大作中提到】
:
: no
L*d
116 楼
不用在router上改,只在盒子上改,并且不要用改了dns的盒子去管理银行账户,能有
什么危害呢?
至于那个dns的拥有者,大不了可以收集用户信息做点大数据看看大家都是去了哪些视
频站点。who cares?
并不是小米盒子可以改dns. 是盒子都可以改,是android都可以改,是个OS都可以改。
在设置网络的地方,打开高级选项就可以了。
什么危害呢?
至于那个dns的拥有者,大不了可以收集用户信息做点大数据看看大家都是去了哪些视
频站点。who cares?
并不是小米盒子可以改dns. 是盒子都可以改,是android都可以改,是个OS都可以改。
在设置网络的地方,打开高级选项就可以了。
m*e
117 楼
这就是DNS劫持的典型“良性”应用
妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
都是基于地址验证,dns都劫持了,啥都挡不住
DNS。
【在 x****k 的大作中提到】
: 大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
: 绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
: 账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
: letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
: 192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
: 现仍然可以看有版权限制的电影。
: 下面是我的猜想
: 由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
: 子和letv的真实IP之间。
: 但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
都是基于地址验证,dns都劫持了,啥都挡不住
DNS。
【在 x****k 的大作中提到】
: 大家都知道通过将DNS改为192.241.222.103的办法绕过海外IP限制去看电影。但请大家
: 绝对绝对不要在改了DNS的盒子/平板/手机上访问你重要的账户,例如私人email,银行
: 账户之类的,最好任何账户信息都不要输入。更不要在家里的wireless router上改DNS。
: letv,搜狐的海外IP限制通常在启动app的时候进行验证。我已经测试过,先将DNS设为
: 192.241.222.103,启动app,然后再把DNS改回自己路由器上的设定值,切换回app,发
: 现仍然可以看有版权限制的电影。
: 下面是我的猜想
: 由于dns不是proxy,不需要承载很大的流量,最终看电影时的connection还是建立在盒
: 子和letv的真实IP之间。
: 但在启动app时,会有一个IP物理位置鉴别过程,这个过程中,海外的盒子会发送一个
s*i
118 楼
router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
,里边不知道有啥东西,只有自求多福了。
,里边不知道有啥东西,只有自求多福了。
b*n
119 楼
有杀毒软件,不会检测不到吧?
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
w*y
120 楼
没有根CA的private key怎么办
【在 m**********e 的大作中提到】
: 这就是DNS劫持的典型“良性”应用
: 妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
: 楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
: 都是基于地址验证,dns都劫持了,啥都挡不住
:
: DNS。
【在 m**********e 的大作中提到】
: 这就是DNS劫持的典型“良性”应用
: 妈的,好多年前我就想这么一搞,可以做到抢银行不用手枪,
: 楼上有屁民说银行有ssl证书,其实证书是没用的,ssl证书
: 都是基于地址验证,dns都劫持了,啥都挡不住
:
: DNS。
s*i
121 楼
有些东西不是病毒啊,比如安全漏洞。
【在 b*****n 的大作中提到】
: 有杀毒软件,不会检测不到吧?
【在 b*****n 的大作中提到】
: 有杀毒软件,不会检测不到吧?
m*e
122 楼
dns都被劫持了,还怕个啥?
你可以设个假的root ca server,无论谁发请求,都说证书是对的。
这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
【在 w****y 的大作中提到】
: 没有根CA的private key怎么办
你可以设个假的root ca server,无论谁发请求,都说证书是对的。
这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
【在 w****y 的大作中提到】
: 没有根CA的private key怎么办
r*i
123 楼
根CA是浏览器验证的吧。怕就拍CNNIC这种乱发证书的。不然浏览器还是会检测吧。
w*y
124 楼
与root CA的通讯也是加密的,包括“说证书是对的”这件事。root CA的public key是
浏览器内置或者系统自带的,你搞个fake root CA,没有丫的private key,根本没法
相应请求“说证书是对的”。你没搞懂?
【在 m**********e 的大作中提到】
: dns都被劫持了,还怕个啥?
: 你可以设个假的root ca server,无论谁发请求,都说证书是对的。
: 这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
浏览器内置或者系统自带的,你搞个fake root CA,没有丫的private key,根本没法
相应请求“说证书是对的”。你没搞懂?
【在 m**********e 的大作中提到】
: dns都被劫持了,还怕个啥?
: 你可以设个假的root ca server,无论谁发请求,都说证书是对的。
: 这个问题我很久前就考虑过了,只要劫持dns,抢银行真是不用枪,连头套都不用了。
t*y
125 楼
嗯。问题是广电除了通知后,很多APP的官网,上面都没有TV版的APP了。我的TV版的
APP(除了VST和泰杰),都是从沙发网,或者电视家网上下的。但愿这两个网站用的人
多,没有问题。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
APP(除了VST和泰杰),都是从沙发网,或者电视家网上下的。但愿这两个网站用的人
多,没有问题。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
t*y
126 楼
盒子上改DNS,如果没有登录帐号的APP,就是看看片子,我想无所谓吧
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
【在 s********i 的大作中提到】
: router上的DNS绝对不能改。盒子上改DNS的危害小一些。那些side loaded apk什么的
: ,里边不知道有啥东西,只有自求多福了。
b*0
127 楼
Nobody care untill they lost money.
q*8
128 楼
用ip切换器,稳定而且靠谱,推荐你flyyvpn,也推荐给大家,是free的
q*8
129 楼
我怕知道flyvpn代理可以很好地 解决这个问题,http://www.flyvpn.com/cn/
相关阅读
fire stick youtube问题verizon lg g4 在tmobile 怎么用不了网络?版上有人用过BLU这个手机么买乐视电视到底比自己电视加个盒子好在哪里?解锁zte maven的问题网易云音乐 Windows UWP betalumia 640 2 小时印象乐视tv到底具体是什么?tmobile的用户大家帮忙推荐个Nexus 6外壳呗verizon 取消怎么这么难?帮忙推荐个安卓手机,需要照相功能好些问一个中文输入问题nfc pay 有个很囧的地方电视家没有那么好在国外如何在线观看芈月传日系就要完蛋了三星手机国内使用X8还是AC5300lg g4 的 $200 rebate 是 一家/地址只能一个吗?