修改電腦的Hosts文件為什麼不能阻斷網路訪問？

01-05

在網上看到一些人通過 Little Snitch 這樣的軟體來檢測和限制軟體對網路的訪問

關於 Little Snitch ：Little Snitch is a software firewall for Mac OS X. It can be used to monitor applications, preventing or permitting them to connect to attached networks through advanced rules. It is produced and maintained by the Austrian firm Objective Development Software GmbH.
If an application or process attempts to establish a network connection Little Snitch prevents the connection. A dialog is presented which allows one to deny or permit the connection on a one-time or permanent basis. The dialog allows one to restrict the parameters of the connection, restricting it to a specific port, protocol or domain. An integral network monitor allows one to see ongoing traffic in real time with domain names and traffic direction displayed.
The application received a positive 4.5/5 review from Macworld

那我是否可以通過修改 Hosts 文件來限制軟體對網路的訪問？
我這樣嘗試了一下，但是失敗了，軟體依然可以訪問網路：

通過 Little Snitch 我可以看到，一個軟體運行時有兩個進程訪問網路：
1. Deluxe（主程序）訪問：

http://cbs.xxx.com

http://macplatform.xxx.com

http://platform.xxx.com

2. Helper Compact 訪問：

http://cbs.xxx.com

http://macplatform.xxx.com

http://platform.xxx.com

http://api.xxx.com

http://xxx.com

http://cbs.xxx.com

於是我把以上地址加入 Hosts 文件，並指向127.0.0.1 ，已達到阻止其訪問網路的目的。
但是呢，軟體依然可以訪問網路？
請問高手指教

hosts 文件從來都不能限制對網路的訪問。他只是給域名解析提供「建議」。

如果一個程序不使用域名而是直接使用 IP 進行網路訪問。

或者一個程序不使用 hosts 提供的域名解析「建議」，而是自行解析域名，然後用 IP 訪問。

那麼他不會受到 hosts 文件的任何影響。

hosts 文件不是防火牆。謝謝。

如果你真的想要阻斷對某些網址的訪問，光修改 /etc/hosts 是沒有用的，有些 app 不會走域名解析這條路，而是直接使用 ip 訪問網路。

另外，偏一下題，其實 Mac OS X 自帶了 OpenBSD 開發的 PF（Packet Filter）。這是一個強大的軟體防火牆。你看看牛人是如何做的就明白了: Using pf on OS X Mountain Lion

沒有看懂你的問題中hosts文件與之前的軟體介紹有什麼邏輯上的關聯。

關於hosts，你需要查詢一下所在操作系統中它的優先順序有多高。

以及，對於連接已經建立的情形下，如何reset 域名&<=&>ip cache。

這些需要查操作系統提供的域名解析文檔。

host文件不是用來阻斷網路訪問的啊，瀏覽器輸入域名之後，首先會訪問系統的緩存，即hosts設置（格式為 IP+網址），如果你想訪問某些外網的話，可以通過修改host文件，這樣瀏覽器訪問的時候就會繞過DNS解析，直接訪問系統緩存host文件里對應ip的服務，不過現在GFW會對ip進行攔截，也就是會出現，你修改了host文件仍然不能訪問外網的現象。