科普好文,中国网络防火长城的工作原理。(转)

使用CN2/CN2GIA顶级线路,支持Shadowsocks/V2ray科学上网,支持支付宝付款,每月仅需 5 美元
## 加入品葱精选 Telegram Channel ##

品葱用户 羊城暗夜 提问于 9/9/2019

GFW是Great Fire Wall的缩写,即“长城防火墙”。这个工程由若干个部分组成,实现不同功能。长城防火墙主要指TG监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。

首先,需要强调的是,由于中国网络审查广泛,中国国内含有“不合适”内容的的网站,会受到政府直接的行政干预,被要求自我审查、自我监管,乃至关闭,所以GFW的主要作用在于分析和过滤中国境内外网络的资讯互相访问。

GFW对网络内容的过滤和分析是双向的,GFW不仅针对国内读者访问中国境外的网站进行干扰,也干扰国外读者访问主机在中国大陆的网站。

一 关键字过滤阻断

 
关键字过滤系统。此系统能够从出口网关收集分析信息,过滤、嗅探指定的关键字。主要针对HTTP的默认端口:80端口,因为HTTP传播的内容是明文的内容,没有经过加密,而GFW是一个IDS(Intrusion detection system)。普通的关键词如果出现在HTTP请求报文的头部(如“Host: www.youtube.com”)时,则会马上伪装成对方向连接两端的计算机发送RST包(reset)干扰两者正常的TCP连接,进而使请求的内容无法继续查看。如果GFW在数据流中发现了特殊的内文关键词(如轮子,达赖等)时,其也会试图打断当前的连接,从而有时会出现网页开启一部分后突然停止的情况。在任何阻断发生后,一般在随后的90秒内同一IP地址均无法浏览对应IP地址相同端口上的内容。

二 IP地址封锁

 
IP地址封锁是GFW通过路由器来控制的,在通往国外的最后一个网关上加上一条伪造的路由规则,导致通往某些被屏蔽的网站的所有IP数据包无法到达。路由器的正常工作方式是学习别的路由器广播的路由规则,遇到符合已知的IP转发规则的数据包,则按已经规则发送,遇到未知规则IP的数据,则转发到上一级网关。

而GFW对于境外(中国大陆以外)的XX网站会采取独立IP封锁技术。然而部分XX网站使用的是由虚拟主机服务提供商提供的多域名、单(同)IP的主机托管服务,这就会造成了封禁某个IP地址,就会造成所有使用该服务提供商服务的其它使用相同IP地址服务器的网站用户一同遭殃,就算是正常的网站,也不能幸免。其中的内容可能并无不当之处,但也不能在中国大陆正常访问。现在GFW通常会将包含XX信息的网站或网页的URL加入关键字过滤系统,并可以防止民众透过普通海外HTTP代理服务器进行访问。

三 特定端口封锁

 
GFW会丢弃特定IP地址上特定端口的所有数据包,使该IP地址上服务器的部分功能(如SSH的22、VPN的1723或SSL的443端口等)无法在中国大陆境内正常使用。

在中国移动、中国联通等部分ISP(手机IP段),所有的PPTP类型的VPN都被封锁。

2011年3月起,GFW开始对Google部分服务器的IP地址实施自动封锁(按时间段)某些端口,按时段对www.google.com(用户登录所有Google服务时需此域名加密验证)和mail.google.com的几十个IP地址的443端口实施自动封锁,具体是每10或15分钟可以连通,接着断开,10或15分钟后再连通,再断开,如此循环,令中国大陆用户和Google主机之间的连接出现间歇性中断,使其各项服务出现问题。GFW这样的封锁手法很高明,因为Gmail并非被完全阻断,这令问题看上去好像出自Google本身。这就是你们认为Google抽风的原因。

四 SSL连接阻断

 
GFW会阻断特定网站的SSL加密连接,方法是通过伪装成对方向连接两端的计算机发送RST包(RESET)干扰两者间正常的TCP连接,进而打断与特定IP地址之间的SSL(HTTPS,443端口)握手(如Gmail、Google文件、Google网上论坛等的SSL加密连接),从而导致SSL连接失败。

当然由于SSL本身的特点,这并不意味着与网站传输的内容可被破译。

五 DNS劫持和污染

 
GFW主要采用DNS劫持和污染技术,使用Cisco提供的IDS系统来进行域名劫持,防止访问被过滤的网站,2002年Google被封锁期间其域名就被劫持到百度。中国部分ISP也会通过此技术插入广告。

对于含有多个IP地址或经常变更IP地址逃避封锁的域名,GFW通常会使用此方法进行封锁。具体方法是当用户向DNS服务器提交域名请求时,DNS返回虚假(或不解析)的IP地址。

全球一共有13组根域名服务器(Root Server),目前中国大陆有F、I这2个根域DNS镜像,但现在均已因为多次DNS污染外国网络,而被断开与国际互联网的连接。

DNS劫持和污染是针对某些网站的最严重的干扰。

干扰的方式有两种:

一种是通过网络服务提供商(Internet Service Provider)提供的DNS服务器进行DNS欺骗,当人们访问某个网站时,需要要把域名转换为一个IP地址,DNS服务器负责将域名转换为IP地址,中国大陆的ISP接受通信管理局的屏蔽网站的指令后在DNS服务器里加入某些特定域名的虚假记录,当使用此DNS服务器的网络用户访问此特定网站时,DNS服务便给出虚假的IP地址,导致访问网站失败,甚至返回ISP运营商提供的出错页面和广告页面。

另一种是GFW在DNS查询使用的UDP的53端口上根据blacklist进行过滤,遇到通往国外的使用UDP53端口进行查询的DNS请求,就返回一个虚假的IP地址。

品葱用户 Noone 评论于 2019-09-19

这都是旧闻了,大概5年前使这种手段。这两年各种高级玩意一一上线,没全部启用而已(太贵)

品葱用户 你大爺是我 评论于 2020-02-29

他們總部在哪裡,武漢民眾想去拜訪他們總部在哪裡,武漢民眾想去拜訪

品葱用户 zarsper 评论于 2019-09-09

直接static上传Amazon s3,,,或GitHub,,,怎么都封不掉了,,,巴拿马文件就是这么干的,,,

品葱用户 樱花酱 评论于 2019-09-10

太专业了,看不懂。。

品葱用户 wanderer 评论于 2019-09-09

防火长城最早上线的时候,中国特意放松了墙内网站的管制,以便使阻力降低到最小。

品葱用户 西南王 评论于 2019-09-11

还有终极杀招没用,白名单制,用了以后,所有VPN都gg

品葱用户 rockman 评论于 2019-09-11

好文,学习了

品葱用户 wakemeup 评论于 2019-09-11

现在已经快成天网了。

品葱用户 家裡蹲黨自稱主席 评论于 2019-09-12

防抗不了,坐等被封

品葱用户 haha123 评论于 2019-09-20

最近封禁国外vps厂商很奇怪,以vultr东京为例,正常的路由跟踪是一级一级到大陆骨干网->日本骨干网->逐级到vultr的ip,但是我那台机器被封禁后再次跟踪路由最后停到了日本骨干网

品葱用户 精shen地zhan养着你 评论于 2019-10-10

这个太老了吧,现在都大数据人工智能了

品葱用户 打倒社会主义 评论于 2019-10-10

问个问题:为什么每次一到特殊的日子VPN就会失效,而平时就没失效?按理来说共产党封锁网络只会越来越严;那么他们既然有能力在特殊时期让VPN完全失效,那为什么平时不按照这样来实施?

品葱用户 山外青山 评论于 2019-10-12

防火长城是万恶之源。人的思想来源于他所接触的信息。

品葱用户 xidada 评论于 2019-10-11

其实这里讲得还是很浅的。
就大陆dns劫持,就可以写3000字+

例如你用移动光纤,设置的是114dns,你访问百度,你不仅得不到114的查询结果,你得到的是移动dns的查询结果,查询结果是一个被污染ip,可能右下角就弹广告。

细心的朋友可能会问了,我怎么不是得到114的查询结果,而是得到移动dns的污染ip。不是已经设置成114的dns了吗?

这就是dns在53端口的脆弱性:被抢答。别说设置成114,你设置成8.8.8.8一样被移动拦截并调包。

有时候看到美国人在90年代制定dns标准时的单纯天真,放到如今的脆弱性,和被中国利用成这样,也让人唏嘘。

品葱用户 Dreamliner 评论于 2019-10-28

没讲目前封锁wiki和pixiv用的SNI
具体来说(不专业人士瞎说)由于https会发一个明文的SNI握手包,GFW可以直接探到这个包然后reset,这导致hosts直接失效。
不是专业的说法,专业人士可以指正。
目前可以依靠一些插件和软件反代理。

品葱用户 蜜罐炸弹 评论于 2019-12-16

如果肉身在国外,设备上使用中国的翻回墙内的vpn会泄漏设备上的信息吗,比如在看品葱

品葱用户 aodkctipeg 评论于 2020-02-29

现在好像都上AI技术进行流量识别了,目前好像最稳定的就是trojan但是存在技术门槛。

品葱用户 吉良吉影 评论于 2020-02-29

我自己租的VPS,被封端口,封端口不解气,又封IP,我真的服了,下次换V6看会不会好一点。

品葱用户 Resistance 评论于 2020-02-29

这篇文章不够详细,记得 fqrouter 的作者写过一篇很长的 GFW 工作原理的文章。

品葱用户 Jallgg 评论于 2020-03-04

dns在设计之初并没有考虑安全性的问题,因为在互联网早期也没有安全顾虑,现在dns明文传输的特点给数据传输埋下了很大的隐患,使用DNS over https是很有必要的

点击品葱原文参与讨论

最简单好用的 VPS,没有之一,注册立得 100 美金
comments powered by Disqus

See Also

最全面记录疆独的一篇文章,你之西域,我之东土,新疆独立纪实。

你或许听过疆独,但可能不了解新疆维吾尔人,这一路的独立之路走的多辛苦。这篇文章告诉你历史课本从来不说的事──在列强夹杀、国民党和共产党的阴谋下,维吾尔人其实才是中国近代史中最惨烈的牺牲者。 一八八四年左宗棠侵占东突厥斯坦后,清帝国对这个国家 …

最全面记录疆独的一篇文章,你之西域,我之东土,新疆独立纪实。

你或许听过疆独,但可能不了解新疆维吾尔人,这一路的独立之路走的多辛苦。这篇文章告诉你历史课本从来不说的事──在列强夹杀、国民党和共产党的阴谋下,维吾尔人其实才是中国近代史中最惨烈的牺牲者。 一八八四年左宗棠侵占东突厥斯坦后,清帝国对这个国家 …

湖北民主人士刘艳丽2016年因多次要求官员公布财产而被捕,狱中多次被虐待而自杀未遂,今年1月开庭过一次,近几日要再次开庭,希望大家关注

相关法庭陈述如下: 最后陈述 尊敬的审判长,审判员,检察官: 今天在这里对我的网络言论涉嫌寻兴滋事一案开庭审理,在前面的庭审过程中,我就检察官对我的犯罪指控陈述了我的意见。感谢审判长给我机会进行最后陈述。现程数如下: 一,今天我能站在这里因 …

葱油们都来聊聊,大家因为什么原因开始痛恨土共的?

品葱用户 热爱大撒币 提问于 8/24/2019 我先来吧。我祖上在毛腊肉时代就是受害者,要不是怕暴露身份我都想开个长贴聊一下。 到了我这一代,本来还好,因为长期的洗脑教育我父母倒并没有太痛恨中共。我最开始是对这个国家的整体社会文化不满,去 …