Tutorial for testing the Great Firewall

本文中的 dig 命令为 nali-dig 的 alias，nali-cli 是一个在标准输出显示IP归属地的程序，你应该先去 https://nali.skk.moe 下载它。

DNS 污染

dig dw.com @8.8.8.8

回复应该类似

dw.com.                 210     IN      A       108.160.163.102 [美国 加利福尼亚州旧金山市 Dropbox 公司]

dw.com.                 155     IN      A       162.125.6.1 [美国 弗吉尼亚州阿什本 Dropbox 数据中心]

则说明该域名受DNS污染影响。

Host 检查

curl -v http://sm-miracle.com --connect-to ::1.0.0.1

出现

* Recv failure: Connection reset by peer

则表明存在审查。

SNI 检查

curl -v https://rentry.co --connect-to ::1.0.0.1

回复应当包括 * TLSv1.3 (OUT), TLS handshake, Client hello (1): * OpenSSL SSL_connect: Connection reset by peer in connection to rentry.co:443

则说明GFW会检查包含该域名的SNI。

得到正确的IP

非标准端口

dig @208.67.222.222 -p 5353 dw.com

回复是

dw.com.                 300     IN      A       194.55.30.46 [德国 德国国际广播电台 Deutsche Welle]
dw.com.                 300     IN      A       194.55.26.46 [德国 德国国际广播电台 Deutsche Welle]

是正确的IP。

其他可用的非标准端口DNS服务器还有

101.6.6.6:5353
9.9.9.11:9953
208.67.220.220:443
208.67.222.222:443

DNS over HTTPS

curl -v 'https://101.6.6.6:8443/dns-query?name=dw.com' | jq

回复包含

{
  "Answer": [
    {
      "name": "dw.com.",
      "type": 1,
      "TTL": 300,
      "Expires": "Fri, 04 Feb 2022 10:36:24 UTC",
      "data": "194.55.26.46"
    },
    {
      "name": "dw.com.",
      "type": 1,
      "TTL": 300,
      "Expires": "Fri, 04 Feb 2022 10:36:24 UTC",
      "data": "194.55.30.46"
    }
  ]
}

其中 data 包含正确 IP。

This work is licensed under CC BY-SA 4.0

Go back