金盾工程技术分析

作者:杰夫 来源: 弯曲评论

image 很多人都有过这样的体验,在中国访问一些国际网站,感觉速度比较慢。这其中有多种原因,中国国内网络的带宽不够,到国际网站的服务器需要经过多层路由器转 接,到欧洲的网站一般需要在美国中转,等等。还有一个重要原因不一定每个人都知道,那就是所有从中国到国外的数据包都要经过一个巨大的防火墙 (Firewall)过滤。这个防火墙是世界上功能最强大的网络控制机构之一,国际上的研究人员称之为“Great Firewall of China”,简称GFC,可译为“中国防火长城”(长城英文是“Great Wall of China”)。国内的正式名称是“金盾工程”。

“金盾工程”(Golden Shield Project)的核心项目是一个综合的网络封锁和监视系统,涉及技术(电信与网络服务提供商ISP)、行政、公安、国安、宣传等很多部门的系统工程,总 体工程规划五年内完成,分两期建设。一期工程在2003年建成并全面启动。据中央电视台报道,至2002年为止,金盾工程共花费了人民币六十四亿元。二期 工程从2006年开始实施。据估计,目前参与金盾工程日常运作的人员(主要来自公安部门)超过三万人。

GFC(以下用GFC表示金盾工程)的主要功能包括封锁国外的一些网站,监控一些网吧和个人的上网行为,收集网络情报,有时也破坏网络通讯,如劫持域名,劫持个人电脑等。下面我们就具体分析一下GFC的构成和工作原理。

国际互联网(Internet)起源于美国军方的网络研究项目ARPANET,其设计目的是一个没有中心机构的分布式网络。如果在战争情况下某些节点遭到 破坏,其他部分还能正常工作。如果美国政府有一天决定要监控所有进出美国的网络数据,他们也无法办到,因为美国与世界各地的连接太多,有些连接并不在政府 控制之下,要监控所有的国际数据无论在技术、法律或财力上都是不可行的。

同理,如果中国政府要监控国内、国际所有的网络通信也不可能。但是,只监控中国到国外的互联网通信是可行的,因为中国到国外的互联网接口只有有限的几个, 主要的只有三个。北方的一个是北京-青岛-天津,接到日本;上海有一个国际接口,也接到日本;南方广州有一个,接到香港。除此以外,还有一些卫星国际连 接,但是速度很慢,收费很高。中国西部还有通过中亚到俄国的线路,但数据传输量也很少。中国互联网国际出口少的坏处在2006年台湾地震时暴露得很明显, 几条海底电缆的破坏就使得中国互联网国际通信受到巨大影响。好处也有,如果在这几个国际出口各放一套防火墙设备,就可监控所有的国际数据通信。GFC就是 这样做的。

GFC主要设备供应商是思科(Cisco),核心设备是一种路由器,“Mirroring Router”。这种路由器在转发每个数据包的同时,都会复制一份进行分析。根据分析的结果,可以允许这次通信正常进行,或者中断这次通讯,更加严重的, 可以封掉这个国际网站或IP地址。由于参与GFC的建设,思科公司曾受到美国国内多方的强烈批评。但现在这种路由器已经不是什么尖端技术,很多网络设备厂 商都可以制造,包括中国的华为,中国不必非从思科购买。目前GFC的技术更新工作主要在软件方面,这由中国方面独立进行,思科并不参与。

GFC截断国际通信的技术手段有几种,最严厉的一种是封锁域名(DNS Block)。例如,用户要访问www.google.com, 首先需要域名服务器(DNS Server)先返回一个IP地址,然后再用这个IP地址和谷歌的服务器交换数据。封锁域名就是在用户查询谷歌的IP地址时,GFC截获这个请求并返回一 个零地址,或假地址。用户的浏览器就会显示“无法找到网站”,使得用户无法访问google.com。有时GFC还会更进一步,把访问一个网站的请求转到 另一个网站。例如,在2002年有几个月,访问www.google.cn的请求都被转到百度的网站,www.baidu.com

假如谷歌的域名被封,但如果你知道谷歌的IP地址,那你还可以直接用IP地址访问谷歌的网站。所以,GFC还有另一个手段,封锁IP。这和域名封锁类似, 都是有一个黑名单,在黑名单上的域名和IP地址一概不能访问。黑名单有两种,一个是永久的,一个是临时的。上榜永久黑名单的网站那是没有办法了,临时名单 要好些,它有时间限制,敏感时期过后,或表现良好,名单中的网站就有可能被去掉。

还有一种手段是URL关键字封锁。也就是说,即使google.com没被封锁,但如果该网站的某一页面的名字中含有某个关键字(对不住,这儿就不举例子 了),那么这一页面就可能被封。最后一个手段,也是最先进的,就是实时扫描每一页的内容。如果页面中含有GFC不喜欢的字或词,GFC会马上中断这次通 信,在一定的时间内还不准再试(一般为30分钟)。

后面这两种手段更人性化一点儿,不像前两种封掉整个网站那么粗暴,打击面也小一些,可以精确到页面,而不是整个网站。当然,本质是一样的,在遇到页面无法 访问时,用户都不知道是怎么回事儿。是我的PC坏了,网线断了,电信的机器坏了,网站的服务器当机,还是它今天被封了?都有可能,这种不确定性也使得 GFC的威力更加强大。不像其他政府,如新加坡政府等,封掉一个网页后,还会告诉你,“…对不起,这个网页含有不适当的内容,不能访问…”,幼稚了不是?

那么,如何破解GFC?

破解GFC也很简单,两种办法最有效,代理服务器(Proxy)和虚拟私有网(VPN)。Proxy就是通过国外的另一台服务器中转一下,掩盖最终地址, 逃过GFC的审查;VPN的办法是使用数据加密,GFC无法知道通信双方的域名或IP地址。国外的Proxy很多,IP经常变化,GFW无法把它们都列入 黑名单封掉。而且Proxy都是免费,就是需要经常换新的。使用VPN要求较高,如果国外没有服务器可连,就需要付费。VPN的数据都经过加密,GFC看 不懂,只好放行。那么,有没有可能有一天GFC会把所有看不懂的、加密过的VPN数据都封掉?不会,因为成本太大。成千上万的外企、银行每天都使用VPN 与其总部通信和传递财经数据,封掉VPN,他们马上就没法在中国做生意了。只要中国的改革开放政策不变,这就不会发生。

既然这么简单就可以攻破GFC,为什么政府还要花巨资建设它?因为GFC虽然不能挡住所有人,但它设置的障碍足够挡住绝大多数不熟悉互联网技术的人。一些 外商或国内精英人士可以绕过GFC,这并不一定是件坏事情,至少并不严重。另外,由于GFC的存在,多数国内外的网站(包括《弯曲评论》)都会严格自律, 非常小心,以避免被封。所以,从这种意义上讲,GFC还是非常有效的。

没有评论: