Sunday, June 12, 2016

长城防火墙工作原理及突破技术(翻越长城)

 



防火长城(英语:Great Firewall,常用简称:GFW,中文也称中国国家防火墙),是对tianchao在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。



GFW对网络内容的过滤和分析是双向的,GFW不仅针对国内读者访问中国境外的网站进行干扰,也干扰国外读者访问主机在中国大陆的网站。



一般情况下,防火长城主要指tianchao gover^nment监控和过滤互联网内容的软硬件系统,由服务器和路由器等设备,加上相关的应用程序所构成。它的作用主要是监控网络上的通讯,对认为不符合tianchao官方要求的传输内容,进行干扰、阻断、屏~蔽。由于兲朝网络审查广泛,tianchao国内含有“不合适”内容的的网站,会受到gover^nment直接的行政干预,被要求自我审查、自我监管,乃至关闭,故防火长城主要作用在于分析和过滤兲朝境内外网络的资讯互相访问。一些文章指出,GFW之父是tianchao工程院院士、北京邮电大学校长方滨兴,社区昨天也有人说是江绵恒。



tianchao还有一套公开在公共安全专家部辖下的网络安全项目——金盾工程,金盾工程和防火长城的关系一直没有明确的认定。

普遍的看法是,长城的工作机制主要包括IP黑名单、内容审查和DNS劫持等三种。

先来科普下 GFW 是怎么挡住我们的:

[*]关键字过滤
[*]IP 封锁
[*]DNS 污染、劫持
[*]特定端口封锁
[*]加密连接的干扰
我们一条条来看:

[*]关键字过滤
大家都知道,比如 Http 协议数据包头部是明文的,所以 GFW 一旦发现连接有敏感词,马上就会伪装成连接两方,向真正的对方发送 RST 数据包,真正的双方一看,出现异常了,那把连接关闭吧。
所以,有时候你会发现有的页面正在打开,然后过了一会又没了,显示无法连接。

[*]IP 封锁
GFW 可以在出境的网关上加一条伪造的路由规则,这样对于一些被过滤了的 IP 的数据包就无法正确地被送达,所以也就无法访问了。
GFW 封路由可是很凶残的,直接封独立 IP ,这样可能因为某个敏感站点,导致跟他同一台主机的其他站点也无法访问,理解起来就像旁注。

[*]DNS 污染、劫持
DNS 也就是域名解析服务,GFW 会对所有经过骨干出口路由的在 UDP 的 53 端口上的域名查询进行检测,一旦发现有黑名单里的域名,它就会伪装成目标域名的解析服务器给查询者返回虚假结果。由于 UDP 是一种无连接不可靠的协议,查询者只能接受最先返回的结果。
而即便我们用可靠的 TCP 协议来查询,虽然 GFW 不能污染 DNS 了,但是可能会被重置(发送 RST),查询者也无法得到返回的 IP 。
Youtube在国内遭到封禁已是众所周知的事实,由于使用域名访问会存在DNS劫持问题,这里直接以其IP地址之一208.65.153.238来举例说明IP黑名单机制。
用浏览器访问http://208.65.153.238有如下结果:



[*]特定端口封锁
对于一些特点的 IP ,GFW 会丢弃特定端口上的数据包,使得某些功能无法使用,比如 443端口SSL,22端口的SSH。
GWF 曾经干过一件事,针对 Google 的一些 IP 上的443端口,实施间歇性封锁,不明所以的用户就会觉得这是 Google 抽风了,久而久之自然不能忍受 “老是出问题” 的产品。

[*]加密连接的干扰
加密连接不总是加密的,公钥还是明文的,所以 GFW 就能识别出特定服务的证书。然后在遇到 “黑名单” 加密连接时,它会发送RST数据包,干扰双方正常的 TCP 连接,进而切断加密连接的握手。


即使 GWF 有这么多阴招,我们还是有办法的,本文主要也是说这个的。

[*]VPN
VPN 叫虚拟专用网络,顾名思义你连上 VPN 后,就等于接进了一个 “局域网”,这个局域网里的传输都是强制加密的,你的数据先传到 VPN 服务器,然后再传给真正目标。正是因为加密,所以 GFW 就封锁不了了。
但是,如果某个 VPN 特别猖狂,GFW 直接把 VPN 服务器的域名、 IP 封掉,那这个 VPN 也就用不了了。



[*]加密代理
FanQiang 说到底,都是加密数据。代理的作用就是:把你要访问的目标告诉它,它访问成功后把数据加密返回给你,从而间接使你访问到了被 Q 的目标。
同样,GFW 也可以把代理服务器封掉。

[*]直接访问 IP
毕竟过滤 IP 是黑名单,不可能更新那么及时,而 Google 服务那么多,镜像 IP 很多的。

只希望不要落入 GFW 的黑名单。。。


一般我所知道的姿势就这些了,还有些比如 Tor 之类的,我也没有实践过,所以就不说了。

tianchao总体上是采取对外开放的政策,但是tianchao和其他国家一样,对于网站还是要依法做必要的管理,某些网站确实存在违反tianchao法律的事情。

有评论认为,当局此次收紧舆论控制是为了防止经济危机进一步转化为社会与政治危机。
  
至2016.6,谷歌的服务Y、B等在tianchao境内都不可以直接访问。

 

No comments: