长城防火墙TheGreatFireWallofChina(GFW)
长城防火墙,也称为中国国家防火墙,英文名称为TheGreatFireWallofChina,简称GFW。
是用于抵御国外非法、不健康、不合时宜的网站的网络审查机制。
境外网站(包括国内的人在境外租用空间开设的网站)一旦被列入黑名单,中国大陆任何地方均不能访问到它。
创建人
被称为"中国国家防火墙(GFW)之父" 的工程院院士、北京邮电大学校长方滨兴
八卦一下:
据南方日报曾报道,2011年5月19日下午,
北京邮电大学校长方滨兴在武汉大学计算机学院出席一场学术交流活动时被在场学生用鞋子砸中,
引起坊间热议。
报道曾称,方滨兴被称为“中国国家防火墙(GFW)之父”,
(GFW)对认为不符合中国官方要求的传输内容,进行干扰、阻断、屏蔽,许多国外新闻网站以及如
Facebook 和 Twitter Youtub等社会媒体被GFW屏蔽。
学生们认为GFW严重影响中国网民正常访问Facebook、Twitter 和 ,
而这几个网站恰恰是在世界范围内最有影响的几大网站。
“我的家用电脑上有6个VPN,用以访问某些被屏蔽的网站。”
方滨兴称“我对任何反政府信息毫无兴趣。此举是为测试VPN是否能成功翻越我建立的GFW。”
方也承认GFW会造成误杀,如果一个网站包含敏感字,GFW由于 “技术限制”,
只能简单粗暴地将其屏蔽了事,他认为GFW在未来会变得更先进。
方滨兴指出,VPN和GFW之间的战争将会永久持续下去,GFW还有很大的改进空间。
2010年年底,方滨兴曾经开通过新浪微博,被网民发现后遭到“围攻”,
3个小时内有上万人留言质问、辱骂。最终,方滨兴被迫关闭微博,
成为微博史上寿命最短的微博账号。
GFW(长城防火墙)的工作原理和封锁技术:
1.关键字过滤
大家都知道,比如 Http 协议数据包头部是明文的,所以 GFW 一旦发现连接有敏感词,马上就会伪装成连接两方,向真正的对方发送 RST 数据包,真正的双方一看,出现异常了,那把连接关闭吧。
所以,有时候你会发现有的页面正在打开,然后过了一会又没了,显示无法连接。
2.IP 封锁
GFW 可以在出境的网关上加一条伪造的路由规则,这样对于一些被过滤了的 IP 的数据包就无法正确地被送达,所以也就无法访问了。
GFW 封路由可是很凶残的,直接封独立 IP ,这样可能因为某个敏感站点,导致跟他同一台主机的其他站点也无法访问,理解起来就像旁注。
3.DNS 污染、劫持
DNS 也就是域名解析服务,GFW 会对所有经过骨干出口路由的在 UDP 的 53 端口上的域名查询进行检测,一旦发现有黑名单里的域名,它就会伪装成目标域名的解析服务器给查询者返回虚假结果。由于 UDP 是一种无连接不可靠的协议,查询者只能接受最先返回的结果。
而即便我们用可靠的 TCP 协议来查询,虽然 GFW 不能污染 DNS 了,但是可能会被重置(发送 RST),查询者也无法得到返回的 IP 。
4.特定端口封锁
对于一些特点的 IP ,GFW 会丢弃特定端口上的数据包,使得某些功能无法使用,比如 443端口SSL,22端口的SSH。
GWF 曾经干过一件事,针对 Google 的一些 IP 上的443端口,实施间歇性封锁,不明所以的用户就会觉得这是 Google 抽风了,久而久之自然不能忍受 “老是出问题” 的产品。
5.加密连接的干扰
加密连接不总是加密的,公钥还是明文的,所以 GFW 就能识别出特定服务的证书。然后在遇到 “黑名单” 加密连接时,它会发送RST数据包,干扰双方正常的 TCP 连接,进而切断加密连接的握手。
即使 GWF 有这么多阴招,我们还是有办法的,本文主要也是说这个的。
跳过GFW的技术浅析:
1.VPN
VPN 叫虚拟专用网络,顾名思义你连上 VPN 后,就等于接进了一个 “局域网”,这个局域网里的传输都是强制加密的,你的数据先传到 VPN 服务器,然后再传给真正目标。正是因为加密,所以 GFW 就封锁不了了。
但是,如果某个 VPN 特别猖狂,GFW 直接把 VPN 服务器的域名、 IP 封掉,那这个 VPN 也就用不了了。
2.加密代理
翻墙说到底,都是加密数据。代理的作用就是:把你要访问的目标告诉它,它访问成功后把数据加密返回给你,从而间接使你访问到了被 Q 的目标。
同样,GFW 也可以把代理服务器封掉。
3.直接访问 IP
毕竟过滤 IP 是黑名单,不可能更新那么及时,而 Google 服务那么多,镜像 IP 很多的。
只要不要进GFW的黑名单还是能用的,进入黑名单回天无力
世界上很多国家都根据自己的政治现状建立了自己的防火墙,但也有很多民主国家没有这个墙。
墙的建立主要功用还是防止意识形态的渗透与演变。通过软件和相应的技术突破墙的封锁俗称翻墙。
相关文章