Hallo zusammen,
ich habe mich mit Internetzensur befasst und habe beim Thema DNS Manipulation noch ein paar Fragen…
Man kann per DNS Hosts und ganze (Sub-)Domains sperren (bzw umleiten).
Man kann also zB die domain de.wikipedia.org sperren.
ABER:
Kann man auch die einzelne Seite de.wikipedia.org/demokratie sperren, ohne den Zugriff auf den „Rest“ auf de.wikipedia.org zu verhindern?
Kurz zum eigenen Verständnis:
de. ist die subdomain, wikipedia. ist die secondlevel-domain und org ist die TLD. Was ist jetzt /demokratie? Ist das einfach nur ein Verzeichnis auf dem Host? Ich stell mir das vor, wie auf meinem Rechner (C:\…) =)
Da DNS-Manipulation keine Sperre ist, müsstest du erst definieren, mit welcher Technik du sperren willst.
de. ist die subdomain, wikipedia. ist die secondlevel-domain
und org ist die TLD. Was ist jetzt /demokratie? Ist das
einfach nur ein Verzeichnis auf dem Host? Ich stell mir das
vor, wie auf meinem Rechner (C:\…) =)
… grob ja. Dieser Teil des URI wird von dem Server interpretiert, was je nach Konfiguration einem Verzeichnis entsprechen kann.
Sagen wir erschweren, selbst ein mittelmäßig erfahrener Internetnutzer kann das normalerweise umgehen und sei es nur, indem er mit 8.8.8.8 den frei zugänglichen DNS von google nutzt (der protokolliert zwar sehr wahrscheinlich das Nutzerverhalten, aber sperren sind mir nicht bekannt)
Der DNS löst auf, was zwischen „//“ und dem ersten „/“ steht, mit dem Rest hat er nichts zu tun. Will man das auch filtern muß man einen Proxy (oder vergleichbares) verwenden.
Da DNS-Manipulation keine Sperre ist, müsstest du erst
definieren, mit welcher Technik du sperren willst.
ja was könnt eich da denn machen?
ich habe mich bisher mit layer 3- und layer 4 filterung beschäftigt.
aber da werden ja ips und portnummern blockiert
aber da die einzelnen seiten also zb die artikel von wiki ja vom selben server kommen, also die selbe ip haben, kann ich damit wohl kaum was ausrichten
was ist mit proxys… die hab ich noch nicht so ganz verstanden… die leiten meine anfrage ja weiter, ich könnte dem also sagen einige anfragen nicht weiterzuleiten
aber einen proxy zu umgehen kann ja nicht so schwer sein oder? (das ist keine rhetorische frage, ich habe wirklich keinen schimmer^^)
Sagen wir erschweren, selbst ein mittelmäßig erfahrener
Internetnutzer kann das normalerweise umgehen und sei es nur,
indem er mit 8.8.8.8 den frei zugänglichen DNS von google
nutzt (der protokolliert zwar sehr wahrscheinlich das
Nutzerverhalten, aber sperren sind mir nicht bekannt)
ja ok ich möchte ja nur verstehen wie man VERSUCHT das internet zu zensieren, ob das dann besonders effizient ist sei dahin gestellt.
dazu habe ich aber noch eine frage, der google nameserver ist ja sehr bekannt.
aber wie funktioniert das? normalerweise schicke ich doch meine anfrage an den nameserver meines providers und wenn der keine übersetzung kennt fragt der andere. wie kann ich jetzt direkt einen anderen nameserver benutzen? an meinem provider komme ich ja nicht vorbei und wenn der tatsächlich zensieren wollte, würde er mir wohl kaum „gestatten“ ihn zu übergehen^^
aber danke erstmal für die schnella antwort =)
bis dann lg
johannes
Da DNS-Manipulation keine Sperre ist, müsstest du erst
definieren, mit welcher Technik du sperren willst.
ja was könnt eich da denn machen?
das geht nicht ohne massive Eingriffe in die Kommunikation. Da du ja die Übertragung bestimmter Inhalte verhindern willst, musst du den Verkehr vollständig abfangen und nur das durchlassen, was definitiv nicht der zu sperrende Inhalt ist.
Der mit so einer Technik angerichtete Schaden ist regelmäßig nicht zu rechtfertigen.
was ist mit proxys… die hab ich noch nicht so ganz
verstanden… die leiten meine anfrage ja weiter, ich könnte
dem also sagen einige anfragen nicht weiterzuleiten
aber einen proxy zu umgehen kann ja nicht so schwer sein oder?
Das Umgehen eines Proxies lässt sich verhindern, indem es einfach keine Verbindung ins Internet sondern nur eine zum Proxy gibt – falls man bereits ist, die negativen Auswirkungen zu akzeptieren. Das Unterbinden von Tunneln zu Proxies Dritter über den Proxy hinweg dürfte schwieriger bis unmöglich sein.
wie kann ich jetzt direkt einen anderen nameserver benutzen?
Du gibst ihn einfach als Nameserver an, statt den, den dein Provider meist automatisch einstellt. Schlimmstenfalls kannst du dir noch selbst einen Nameserver lokal installieren und pflegen. Viele Router bringen diese Funktion schon mit. Die nutzen es meist nur um die häufig verwendeten Adressen zu cachen, aber das könnte man ausbauen.
an meinem provider
komme ich ja nicht vorbei und wenn der tatsächlich zensieren
wollte, würde er mir wohl kaum „gestatten“ ihn zu übergehen^^
Dann müßte er den Zugang schon arg kontrollieren, indem man z.B. mit Whitelists nur die Seiten freigibt, die einem genehm sind.
Selbst China (die da wirklich „gut“ sind) schafft das nicht zu 100% und wendet dafür mit Sicherheit einiges an Rechenleistung auf. Ein Provider, der davon lebt, wird sich das nur leisten, wenn er nicht anders kann. Daher sollte ja in Deutschland der billige und einfache (und imo völlig sinnlose) Weg über die DNS gegangen werden.
moin moin
tut mir leid, dass ich diesen alten thread wieder aufwärme aber eine (letzte) sache habe ich noch nicht kapiert…
Das Unterbinden von Tunneln zu Proxies Dritter
über den Proxy hinweg dürfte schwieriger bis unmöglich sein.
heißt tunneln verschlüsseln?
also kann ich einem proxy eine verschlüsselte anfrage schicken? was macht der dann damit? ersetzt er die header und sendet die verschlüsselten daten weiter?
Das Unterbinden von Tunneln zu Proxies Dritter
über den Proxy hinweg dürfte schwieriger bis unmöglich sein.
heißt tunneln verschlüsseln?
nicht notwendigerweise, aber Verschlüsselung kann eine Manipulation der Kommunikation gänzlich verhindern. Daher muss ein Inhaltsfilter, wenn er wirklich funktionieren soll, verschlüsselte Kommunikation mit (unbekannten oder nicht beeinflussbaren – also praktisch allen –) Dritten unterbinden.
Mit Tunneln meinte ich zunächst lediglich, dass Anfragen und Antworten in einem anderen (oder dem gleichen) Protokoll verpackt werden. Wenn man sie verstecken will, bietet sich natürlich an, sie dann zu verschlüsseln.
also kann ich einem proxy eine verschlüsselte anfrage
schicken?
Ja. Ein Proxy ist ein Stellvertreter – er nimmt Anfragen des Nutzers an und stellt sie stellvertretend für den Nutzer an das Ziel; schließlich gibt er die Antwort des Ziels an den Nutzer zurück.
Wie und auf welchem Weg die Anfrage des Nutzers den Proxy und umgekehrt die Antwort des Proxies den Nutzer erreicht, ist zunächst unerheblich. Dies kann (unabhängig vom Protokoll, über das die Anfrage an das Ziel gehen soll) etwa durch HTTP erfolgen, welches selbstverständlich auch verschlüsselt werden kann.