见招拆招:GFW各种阴招的应对策略

原文:http://mrzzm.blogspot.com/2012/01/gfw.html

按 网传的技术文章看,GFW的阴招主要是IP封锁、端口封锁、DNS劫持、TCP会话阻断、https证书过滤,而且这些手段都特么是世界领先的。除此之 外,据信有关部门还在开发封锁IPv6、P2P、SSL解密神马的技术,这可不是危言耸听,GFW可是吃着中央财政的奶长大的,又有李长春、刘云山做后 台,北邮、哈工大、中科院的Geeks不遗余力地贡献着脑汁⋯⋯

阴招1:IP封锁

这是老技术了,连你家里的路由器都有这功能,GFW把某个IP封掉后墙内的人就不能正常访问此IP,要是封锁了IP段那就更灾难了,整个IP段都不能访问。
封锁效果请猛击此处

解决手段:连接代理绕过封锁。



阴招2:端口封锁

2011年初出现的阴招,间歇性封禁特定IP的端口,主要用来干扰加密连接的Gmail和Google Reader,给人造成一种不稳定的假象,俗称网络劣化。

解决手段:解析到其他未受影响的IP,可修改hosts文件

阴招3:DNS劫持

GFW 监控着所有出国的DNS请求,如果有人想请求解析形如twitter.com的地址,GFW就会伪装成DNS服务器抢先返回一个假的IP地址,由于UDP 协议的缺陷,从DNS返回的正确IP会被丢弃。对于国内的DNS,GFW则直接在国家级DNS上作DNS污染,由于DNS缓存机制,错误的解析信息会一直 错到用户电脑的DNS缓存中。

解决手段:1、在本地自建一个DNS服务器,比如Acrylic。2、使用TCP向国外干净的DNS服务器发送DNS请求。3、修改hosts文件。4、Firefox用户可设置远程解析。

阴招4:TCP会话阻断

这 个很深奥,简单来说就是比如你想上YouTube,访问www.youtube.com之后YouTube开始向你回应,然后GFW就从中间搞破坏,向双 方发出"哎,停止传输吧"的指令,然后用户就会得到"连接已重置"的信息,然后YouTube也停止了数据的传输。这要涉及到TCP协议的3次握手神马 的,解释起来比较麻烦。不过大部分用户对此深有体会,这也是上网时最窝火的事情。
阻断效果请猛击此处

解决手段:如果网站支持https,使用https连接,必要时修改hosts文件。

阴招5:https证书过滤

TLS加密连接的证书是不加密的,所以GFW会封锁特定证书的连接,手段和TCP会话阻断一般黑,打断特定IP地址之间的TLS握手,让用户的连接失败。
过滤效果请猛击此处

解决手段:修改hosts文件


需要指出的是,GFW的这些阴招很少单独使用,大部分是玩组合拳,比如对于Twitter就同时进行DNS劫持、TCP会话阻断、IP封锁,这时就需要更高明的翻墙术了。


个人总结的一些翻墙术(按最爽到最不爽的程度排序)
肉身翻墙
SSH
GAE类
VPN
修改hosts文件
翻墙软件(自由门、赛风等)
IPv6
网页代理


有人问为什么Twitter的IP不会封完,能改hosts文件上。
我解释下,GFW只是一帮技术宅的产物,本来跟政治半点关系没有,但是被土共看上了,所以沦为这么一个反人类工具。
其 实封什么、封多久、封多厉害都是那些官僚们的颐指气使,那些当官的除了IE6别的什么都不会,当方滨兴养的学生发现Twitter换IP了、有新服务器了 之类的向官僚们报告,然后官僚们可能还会用IE6上百度百科搞明白,然后才下令封锁IP,然后下文件、盖章⋯⋯添加到封锁列表⋯⋯这才完成了封锁,所以低 调扩散IP⋯⋯就是这个原因,每次出现可用IP都能用一段时间也是这个原因。

哎,大过年的本来想写个年终总结的,可伪Geek属性驱使我花了俩小时码完全文⋯⋯
新年无耻地求个fo,也求个圈

发表评论