科普好文,中国网络防火长城的工作原理。(转)
GFW是Great Fire Wall的缩写,即“长城防火墙”。这个工程由若干个部分组成,实现不同功能。长城防火墙主要指TG监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。
首先,需要强调的是,由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,所以GFW的主要作用在于分析和过滤中国境内外网络的资讯互相访问。
GFW对网络内容的过滤和分析是双向的,GFW不仅针对国内读者访问中国境外的网站进行干扰,也干扰国外读者访问主机在中国大陆的网站。
一 关键字过滤阻断
关键字过滤系统。此系统能够从出口网关收集分析信息,过滤、嗅探指定的关键字。主要针对HTTP的默认端口:80端口,因为HTTP传播的内容是明文的内容,没有经过加密,而GFW是一个IDS(Intrusion detection system)。普通的关键词如果出现在HTTP请求报文的头部(如“Host: www.youtube.com”)时,则会马上伪装成对方向连接两端的计算机发送RST包(reset)干扰两者正常的TCP连接,进而使请求的内容无法继续查看。如果GFW在数据流中发现了特殊的内文关键词(如轮子,达赖等)时,其也会试图打断当前的连接,从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后,一般在随后的90秒内同一IP地址均无法浏览对应IP地址相同端口上的内容。
二 IP地址封锁
IP地址封锁是GFW通过路由器来控制的,在通往国外的最后一个网关上加上一条伪造的路由规则,导致通往某些被屏蔽的网站的所有IP数据包无法到达。路由器的正常工作方式是学习别的路由器广播的路由规则,遇到符合已知的IP转发规则的数据包,则按已经规则发送,遇到未知规则IP的数据,则转发到上一级网关。
而GFW对于境外(中国大陆以外)的XX网站会采取独立IP封锁技术。然而部分XX网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP地址,就会造成所有使用该服务提供商服务的其它使用相同IP地址服务器的网站用户一同遭殃,就算是正常的网站,也不能幸免。其中的内容可能并无不当之处,但也不能在中国大陆正常访问。现在GFW通常会将包含XX信息的网站或网页的URL加入关键字过滤系统,并可以防止民众透过普通海外HTTP代理服务器进行访问。
三 特定端口封锁
GFW会丢弃特定IP地址上特定端口的所有数据包,使该IP地址上服务器的部分功能(如SSH的22、VPN的1723或SSL的443端口等)无法在中国大陆境内正常使用。
在中国移动、中国联通等部分ISP(手机IP段),所有的PPTP类型的VPN都被封锁。
2011年3月起,GFW开始对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,令中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项服务出现问题。GFW这样的封锁手法很高明,因为Gmail并非被完全阻断,这令问题看上去好像出自Google本身。这就是你们认为Google抽风的原因。
四 SSL连接阻断
GFW会阻断特定网站的SSL加密连接,方法是通过伪装成对方向连接两端的计算机发送RST包(RESET)干扰两者间正常的TCP连接,进而打断与特定IP地址之间的SSL(HTTPS,443端口)握手(如Gmail、Google文件、Google网上论坛等的SSL加密连接),从而导致SSL连接失败。
当然由于SSL本身的特点,这并不意味着与网站传输的内容可被破译。
五 DNS劫持和污染
GFW主要采用DNS劫持和污染技术,使用Cisco提供的IDS系统来进行域名劫持,防止访问被过滤的网站,2002年Google被封锁期间其域名就被劫持到百度。中国部分ISP也会通过此技术插入广告。
对于含有多个IP地址或经常变更IP地址逃避封锁的域名,GFW通常会使用此方法进行封锁。具体方法是当用户向DNS服务器提交域名请求时,DNS返回虚假(或不解析)的IP地址。
全球一共有13组根域名服务器(Root Server),目前中国大陆有F、I这2个根域DNS镜像,但现在均已因为多次DNS污染外国网络,而被断开与国际互联网的连接。
DNS劫持和污染是针对某些网站的最严重的干扰。
干扰的方式有两种:
一种是通过网络服务提供商(Internet Service Provider)提供的DNS服务器进行DNS欺骗,当人们访问某个网站时,需要要把域名转换为一个IP地址,DNS服务器负责将域名转换为IP地址,中国大陆的ISP接受通信管理局的屏蔽网站的指令后在DNS服务器里加入某些特定域名的虚假记录,当使用此DNS服务器的网络用户访问此特定网站时,DNS服务便给出虚假的IP地址,导致访问网站失败,甚至返回ISP运营商提供的出错页面和广告页面。
另一种是GFW在DNS查询使用的UDP的53端口上根据blacklist进行过滤,遇到通往国外的使用UDP53端口进行查询的DNS请求,就返回一个虚假的IP地址。
首先,需要强调的是,由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,所以GFW的主要作用在于分析和过滤中国境内外网络的资讯互相访问。
GFW对网络内容的过滤和分析是双向的,GFW不仅针对国内读者访问中国境外的网站进行干扰,也干扰国外读者访问主机在中国大陆的网站。
一 关键字过滤阻断
关键字过滤系统。此系统能够从出口网关收集分析信息,过滤、嗅探指定的关键字。主要针对HTTP的默认端口:80端口,因为HTTP传播的内容是明文的内容,没有经过加密,而GFW是一个IDS(Intrusion detection system)。普通的关键词如果出现在HTTP请求报文的头部(如“Host: www.youtube.com”)时,则会马上伪装成对方向连接两端的计算机发送RST包(reset)干扰两者正常的TCP连接,进而使请求的内容无法继续查看。如果GFW在数据流中发现了特殊的内文关键词(如轮子,达赖等)时,其也会试图打断当前的连接,从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后,一般在随后的90秒内同一IP地址均无法浏览对应IP地址相同端口上的内容。
二 IP地址封锁
IP地址封锁是GFW通过路由器来控制的,在通往国外的最后一个网关上加上一条伪造的路由规则,导致通往某些被屏蔽的网站的所有IP数据包无法到达。路由器的正常工作方式是学习别的路由器广播的路由规则,遇到符合已知的IP转发规则的数据包,则按已经规则发送,遇到未知规则IP的数据,则转发到上一级网关。
而GFW对于境外(中国大陆以外)的XX网站会采取独立IP封锁技术。然而部分XX网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP地址,就会造成所有使用该服务提供商服务的其它使用相同IP地址服务器的网站用户一同遭殃,就算是正常的网站,也不能幸免。其中的内容可能并无不当之处,但也不能在中国大陆正常访问。现在GFW通常会将包含XX信息的网站或网页的URL加入关键字过滤系统,并可以防止民众透过普通海外HTTP代理服务器进行访问。
三 特定端口封锁
GFW会丢弃特定IP地址上特定端口的所有数据包,使该IP地址上服务器的部分功能(如SSH的22、VPN的1723或SSL的443端口等)无法在中国大陆境内正常使用。
在中国移动、中国联通等部分ISP(手机IP段),所有的PPTP类型的VPN都被封锁。
2011年3月起,GFW开始对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,令中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项服务出现问题。GFW这样的封锁手法很高明,因为Gmail并非被完全阻断,这令问题看上去好像出自Google本身。这就是你们认为Google抽风的原因。
四 SSL连接阻断
GFW会阻断特定网站的SSL加密连接,方法是通过伪装成对方向连接两端的计算机发送RST包(RESET)干扰两者间正常的TCP连接,进而打断与特定IP地址之间的SSL(HTTPS,443端口)握手(如Gmail、Google文件、Google网上论坛等的SSL加密连接),从而导致SSL连接失败。
当然由于SSL本身的特点,这并不意味着与网站传输的内容可被破译。
五 DNS劫持和污染
GFW主要采用DNS劫持和污染技术,使用Cisco提供的IDS系统来进行域名劫持,防止访问被过滤的网站,2002年Google被封锁期间其域名就被劫持到百度。中国部分ISP也会通过此技术插入广告。
对于含有多个IP地址或经常变更IP地址逃避封锁的域名,GFW通常会使用此方法进行封锁。具体方法是当用户向DNS服务器提交域名请求时,DNS返回虚假(或不解析)的IP地址。
全球一共有13组根域名服务器(Root Server),目前中国大陆有F、I这2个根域DNS镜像,但现在均已因为多次DNS污染外国网络,而被断开与国际互联网的连接。
DNS劫持和污染是针对某些网站的最严重的干扰。
干扰的方式有两种:
一种是通过网络服务提供商(Internet Service Provider)提供的DNS服务器进行DNS欺骗,当人们访问某个网站时,需要要把域名转换为一个IP地址,DNS服务器负责将域名转换为IP地址,中国大陆的ISP接受通信管理局的屏蔽网站的指令后在DNS服务器里加入某些特定域名的虚假记录,当使用此DNS服务器的网络用户访问此特定网站时,DNS服务便给出虚假的IP地址,导致访问网站失败,甚至返回ISP运营商提供的出错页面和广告页面。
另一种是GFW在DNS查询使用的UDP的53端口上根据blacklist进行过滤,遇到通往国外的使用UDP53端口进行查询的DNS请求,就返回一个虚假的IP地址。
其实这里讲得还是很浅的。
就大陆dns劫持,就可以写3000字+
例如你用移动光纤,设置的是114dns,你访问百度,你不仅得不到114的查询结果,你得到的是移动dns的查询结果,查询结果是一个被污染ip,可能右下角就弹广告。
细心的朋友可能会问了,我怎么不是得到114的查询结果,而是得到移动dns的污染ip。不是已经设置成114的dns了吗?
这就是dns在53端口的脆弱性:被抢答。别说设置成114,你设置成8.8.8.8一样被移动拦截并调包。
有时候看到美国人在90年代制定dns标准时的单纯天真,放到如今的脆弱性,和被中国利用成这样,也让人唏嘘。
就大陆dns劫持,就可以写3000字+
例如你用移动光纤,设置的是114dns,你访问百度,你不仅得不到114的查询结果,你得到的是移动dns的查询结果,查询结果是一个被污染ip,可能右下角就弹广告。
细心的朋友可能会问了,我怎么不是得到114的查询结果,而是得到移动dns的污染ip。不是已经设置成114的dns了吗?
这就是dns在53端口的脆弱性:被抢答。别说设置成114,你设置成8.8.8.8一样被移动拦截并调包。
有时候看到美国人在90年代制定dns标准时的单纯天真,放到如今的脆弱性,和被中国利用成这样,也让人唏嘘。
还有终极杀招没用,白名单制,用了以后,所有VPN都gg
这个太老了吧,现在都大数据人工智能了
防火长城最早上线的时候,中国特意放松了墙内网站的管制,以便使阻力降低到最小。
现在可能有大数据和AI的智能分析破解SS和V2Ray等翻墙工具的流量了。
GFW的能力真的在进步,不过我们民间热爱自由的人们也在进步,大家斗智斗勇。
现在我比较担心的是,随着习流氓越走越左,GFW不知道会不会干脆一刀切地改为白名单手段:除了他们允许的网站,通通阻断。你的什么机场,VPS通通不通了。
大家可以说说意见,中共什么事情都会做得出来。
GFW的能力真的在进步,不过我们民间热爱自由的人们也在进步,大家斗智斗勇。
现在我比较担心的是,随着习流氓越走越左,GFW不知道会不会干脆一刀切地改为白名单手段:除了他们允许的网站,通通阻断。你的什么机场,VPS通通不通了。
大家可以说说意见,中共什么事情都会做得出来。
直接static上传Amazon s3,,,或GitHub,,,怎么都封不掉了,,,巴拿马文件就是这么干的,,,
他們總部在哪裡,武漢民眾想去拜訪他們總部在哪裡,武漢民眾想去拜訪
这都是旧闻了,大概5年前使这种手段。这两年各种高级玩意一一上线,没全部启用而已(太贵)
dns在设计之初并没有考虑安全性的问题,因为在互联网早期也没有安全顾虑,现在dns明文传输的特点给数据传输埋下了很大的隐患,使用DNS over https是很有必要的
防火长城是万恶之源。人的思想来源于他所接触的信息。
现在已经快成天网了。
防抗不了,坐等被封
问个问题:为什么每次一到特殊的日子VPN就会失效,而平时就没失效?按理来说共产党封锁网络只会越来越严;那么他们既然有能力在特殊时期让VPN完全失效,那为什么平时不按照这样来实施?
如果肉身在国外,设备上使用中国的翻回墙内的vpn会泄漏设备上的信息吗,比如在看品葱
好文,学习了
太专业了,看不懂。。
没讲目前封锁wiki和pixiv用的SNI
具体来说(不专业人士瞎说)由于https会发一个明文的SNI握手包,GFW可以直接探到这个包然后reset,这导致hosts直接失效。
不是专业的说法,专业人士可以指正。
目前可以依靠一些插件和软件反代理。
具体来说(不专业人士瞎说)由于https会发一个明文的SNI握手包,GFW可以直接探到这个包然后reset,这导致hosts直接失效。
不是专业的说法,专业人士可以指正。
目前可以依靠一些插件和软件反代理。
现在好像都上AI技术进行流量识别了,目前好像最稳定的就是trojan但是存在技术门槛。
我自己租的VPS,被封端口,封端口不解气,又封IP,我真的服了,下次换V6看会不会好一点。
最近封禁国外vps厂商很奇怪,以vultr东京为例,正常的路由跟踪是一级一级到大陆骨干网->日本骨干网->逐级到vultr的ip,但是我那台机器被封禁后再次跟踪路由最后停到了日本骨干网
已隐藏
我记得当时有网络大佬通过路由记录查到了中共安插在各个部位的 Great Firewall 的服务器组。
通过 tibetalk 这个敏感词刺探实际地址。大部分都安插在了省会和直辖市。
不过具体位置也是无法侦查的。可以查看的5年前信息:https://www.bannedbook.org/bnews/fanqiang/20150131/359349.html。
通过 tibetalk 这个敏感词刺探实际地址。大部分都安插在了省会和直辖市。
不过具体位置也是无法侦查的。可以查看的5年前信息:https://www.bannedbook.org/bnews/fanqiang/20150131/359349.html。
已隐藏
这篇文章不够详细,记得 fqrouter 的作者写过一篇很长的 GFW 工作原理的文章。
説起gfw,當年最早翻墻還是靠著法輪功的無界。雖然我不信法輪功,不過在翻墻這件事情上真的要感謝他們一下。
平近习
灰名单
如果肉身在国外,设备上使用中国的翻回墙内的vpn会泄漏设备上的信息吗。
