Biny

介绍一下GFW(长城防火墙)的工作原理和封锁技术 【转】

Biny 2015-04-21 12:13:11    264562 次浏览
GFW是Great Fire Wall的缩写,即“长城防火墙”。这个工程由若干个部分组成,实现不同功能。长城防火墙主要指TG监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。

首先,需要强调的是,由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,所以GFW的主要作用在于分析和过滤中国境内外网络的资讯互相访问。

GFW对网络内容的过滤和分析是双向的,GFW不仅针对国内读者访问中国境外的网站进行干扰,也干扰国外读者访问主机在中国大陆的网站。

介绍一下GFW(长城防火墙)的工作原理和封锁技术 【转】
介绍一下GFW(长城防火墙)的工作原理和封锁技术 【转】

先来科普下 GFW 是怎么挡住我们的:

    [*]关键字过滤
    [*]IP 封锁
    [*]DNS 污染、劫持
    [*]特定端口封锁
    [*]加密连接的干扰
我们一条条来看:

    [*]关键字过滤
大家都知道,比如 Http 协议数据包头部是明文的,所以 GFW 一旦发现连接有敏感词,马上就会伪装成连接两方,向真正的对方发送 RST 数据包,真正的双方一看,出现异常了,那把连接关闭吧。
所以,有时候你会发现有的页面正在打开,然后过了一会又没了,显示无法连接。

    [*]IP 封锁
GFW 可以在出境的网关上加一条伪造的路由规则,这样对于一些被过滤了的 IP 的数据包就无法正确地被送达,所以也就无法访问了。
GFW 封路由可是很凶残的,直接封独立 IP ,这样可能因为某个敏感站点,导致跟他同一台主机的其他站点也无法访问,理解起来就像旁注。

    [*]DNS 污染、劫持
DNS 也就是域名解析服务,GFW 会对所有经过骨干出口路由的在 UDP 的 53 端口上的域名查询进行检测,一旦发现有黑名单里的域名,它就会伪装成目标域名的解析服务器给查询者返回虚假结果。由于 UDP 是一种无连接不可靠的协议,查询者只能接受最先返回的结果。
而即便我们用可靠的 TCP 协议来查询,虽然 GFW 不能污染 DNS 了,但是可能会被重置(发送 RST),查询者也无法得到返回的 IP 。

    [*]特定端口封锁
对于一些特点的 IP ,GFW 会丢弃特定端口上的数据包,使得某些功能无法使用,比如 443端口SSL,22端口的SSH。
GWF 曾经干过一件事,针对 Google 的一些 IP 上的443端口,实施间歇性封锁,不明所以的用户就会觉得这是 Google 抽风了,久而久之自然不能忍受 “老是出问题” 的产品。

    [*]加密连接的干扰
加密连接不总是加密的,公钥还是明文的,所以 GFW 就能识别出特定服务的证书。然后在遇到 “黑名单” 加密连接时,它会发送RST数据包,干扰双方正常的 TCP 连接,进而切断加密连接的握手。
即使 GWF 有这么多阴招,我们还是有办法的,本文主要也是说这个的。

    [*]VPN
VPN 叫虚拟专用网络,顾名思义你连上 VPN 后,就等于接进了一个 “局域网”,这个局域网里的传输都是强制加密的,你的数据先传到 VPN 服务器,然后再传给真正目标。正是因为加密,所以 GFW 就封锁不了了。
但是,如果某个 VPN 特别猖狂,GFW 直接把 VPN 服务器的域名、 IP 封掉,那这个 VPN 也就用不了了。

    [*]加密代理
FanQiang 说到底,都是加密数据。代理的作用就是:把你要访问的目标告诉它,它访问成功后把数据加密返回给你,从而间接使你访问到了被 Q 的目标。
同样,GFW 也可以把代理服务器封掉。

    [*]直接访问 IP
毕竟过滤 IP 是黑名单,不可能更新那么及时,而 Google 服务那么多,镜像 IP 很多的。

只希望不要落入 GFW 的黑名单。。。


一般我所知道的姿势就这些了,还有些比如 Tor 之类的,我也没有实践过,所以就不说了。


内容加载中