域名污染和关键词过滤

在网络审查和网络管理中，域名污染（也称为 DNS 污染）和关键词过滤是两种常见的内容过滤手段，它们分别作用于不同的网络层次，实现方式和技术细节各有不同。

域名污染的定义与实现机制
域名污染指的是 DNS 服务器在返回查询结果时，故意返回错误的 IP 地址，从而导致用户访问的域名被解析到错误的服务器。常见的实现方式包括：

1. 伪造 DNS 响应：审查系统在监测到特定域名的 DNS 查询后，伪装成合法的 DNS 服务器，向查询者返回事先设置的伪造记录。
2. DNS 劫持：在递归解析过程中，审查设备直接修改返回的 DNS 报文，将目标域名的 IP 地址替换为无效或被封锁的地址。
3. TTL 调整：通过设置较短的 TTL，使得被污染的记录快速失效，从而增加检测和恢复的难度。

该技术主要作用于 UDP/53 端口，属于网络层的 DNS 协议层面。由于 DNS 查询通常是明文且缺乏完整性校验，审查系统可以在不破坏原有通信的情况下完成拦截。

关键词过滤的定义与实现机制
关键词过滤（亦称关键字过滤）是一种基于内容的审查手段，通常在 HTTP/HTTPS 传输层或应用层通过深度包检测（Deep Packet Inspection，DPI）技术实现。其基本流程如下：

1. 明文 HTTP 过滤：当用户发送的 HTTP 请求或服务器返回的 HTTP 响应中出现被禁止的关键词时，审查设备会立即拦截、修改或重置该会话。
2. HTTPS 过滤：由于加密后的流量无法直接检查 payload，审查系统通常采用TLS 终止（TLS interception）、SNI（Server Name Indication） 检查或在客户端植入根证书的方式实现“中间人”检查。
3. URL 与 Host 检查：除了完整的 payload，审查设备还会对 URL、Host 头部、Referer 等字段进行正则匹配或关键词库比对。

关键词过滤常配合黑名单 / 白名单、时间窗口以及流量速率限制等策略，以实现更细粒度的控制。

二者主要区别
- 作用层次不同：域名污染发生在 DNS 解析层，关键词过滤作用于 应用层的 HTTP/HTTPS 数据流。
- 检测对象不同：域名污染针对的是域名的 IP 映射，关键词过滤针对的是实际传输的内容（文字、URL、图片等）。
- 可见性不同：域名污染对普通用户往往表现为“无法访问特定站点”，而关键词过滤可能导致页面被拦截、出现错误提示或被替换为警告页面。
- 技术实现难度：域名污染只需要对 DNS 响应进行篡改，技术门槛相对低；关键词过滤需要 DPI、TLS 中间人等更复杂的网络设备与算法。

检测方法
针对域名污染的检测常用手段包括：
1. 使用多个公共 DNS（如 Google 8.8.8.8、Cloudflare 1.1.1.1）进行对比查询，观察返回 IP 是否一致。
2. 通过 dig +trace 或 nslookup -debug 查看完整的解析路径，检查是否有异常的中继 DNS 服务器。
3. 利用 DNS 区域文件 或 被动 DNS 数据集，分析同一域名在不同时间、不同地区的解析差异。

针对关键词过滤的检测手段主要有：
1. 使用HTTP/HTTPS 抓包工具（如 Wireshark），检查请求/响应中是否出现异常的拦截页面（如“该页面无法访问”或特定的 HTTP 状态码 403、404）。
2. 观察 TLS 握手过程中的证书链，是否存在由审查系统签发的中间证书。
3. 通过对比不同网络环境（如国内与国外）访问同一 URL 时的返回内容，识别过滤特征。

常见的防护与应对措施
- 对于域名污染，可采用以下防护手段：
  ① 使用 DNS over HTTPS（DoH） 或 DNS over TLS（DoT），加密 DNS 查询过程，防止响应被篡改。
  ② 将可信的递归 DNS 服务器的 IP 地址写入本地系统文件（如 /etc/hosts），直接绑定域名与 IP，绕过 DNS 查询。
  ③ 使用VPN 或代理，通过境外 DNS 解析并在加密通道中访问目标站点（需遵守当地法律）。

- 对于关键词过滤，常用的防护措施包括：
  ① 强制使用 HTTPS，确保传输内容在 TLS 加密层内，防止 DPI 检查明文关键字。
  ② 使用端到端加密的聊天或邮件服务，避免在传输层出现可被检查的明文。
  ③ 部署内容分发网络（CDN），将站点内容分布至多地区，降低单一节点被过滤的概率。
  ④ 采用混淆协议（如 Shadowsocks、VMess），在网络层面将流量特征伪装，进一步降低被关键词过滤识别的可能性（使用前请确认当地法规）。

需要注意的是，各国和地区对域名污染和关键词过滤的法律与政策各不相同，在进行任何防护或规避操作前，务必了解并遵守当地的法律法规。