纠正网友一些对GFW的认识

作者:周曙光   来源:周曙光的个人新闻台

在翠花小组里,有人对GFW的工作方式还是不太了解,说什么"直接封掉整个域名",本公子是久经GFW考验的黄金圣斗士,我来纠正一个说法 :-)
没有"直接封掉整个域名"的概念,正确的表达应该是:

  1. 把域名为作敏感字来屏蔽
  2. 把域名所在的IP屏蔽

前者是基于80端口上的HTTP明文数据传输的,后者是基于路由协议的。
前才的解决办法是改用HTTPS的443端口来加密的传输数据,如果封遇到IP的手段,则死掉,解决办法是换IP。
GFW还有一个必杀技是,干扰DNS解析结果,一般网站是不会得到这最高的荣誉的,但我的网站享有此待遇。国内用户可测试一下
nslookup www.zula.com ns1.dreamhost.com
多执行几次可看到不同的DNS查询结果。
相应对抗GFW只下面几个方法

  1. SSL加密
  2. 换IP
  3. 使用国外的DNS解析服务器
  4. 然后推荐国内读者使用tor

FoxyProxy可以让浏览器通过TOR网络收发DNS查询请求,这样DNS查询就不会被GFW干扰,导致国内的人得到正确的IP地址。

图片来源:http://knol.google.com/k/-/-/3jhi1zdzvxj3f/2#

我已经被GFW三管齐下了。
我换IP的成本不高,十分钟搞定。Dreamhost里可以换IP,买IP时是按月收费,退IP时是按天结帐,会把余额还给你。

我来介绍一下GFW的工作层面有两种,一种在传输层进行干扰,一种是在网络层进行封杀。
TCP/UDP这些传输层干扰有三种:

  1. DNS   GFW在UDP 53端口上进行 干扰
  2. HTTP   GFW在默认端口 TCP 80端口上进行干扰
  3. https     GFW在默认端口 TCP 443 干扰

网络层上的封锁和干扰就是封IP,是在路由协议上完成。
打开一个网页的正确流程是这样:

  1. DNS查询获得IP后再开始传输内容,如果查询过程不受干扰,可以获得正确IP,开始传输数据
  2. 如果发起的是HTTP,则以明文传输,GFW可审查传输内容,发现敏感字,则向两端发reset信号,网络则被重置;
  3. 如果发起的是HTTPS,则先传输公钥,就是传送证书到本地浏览器,然后服务器以私钥加密内容,浏览器以公钥解密内容,服务器和浏览器之间的数据传输是加密的,GFW没办法审查内容。

对了,我又在北京筹划一个松散的活动,准备向那些不太熟悉网络技术的人介绍网络技术,我在豆瓣上发了一个活动,欢迎来玩,介绍技术是很轻松的,我更喜欢的是和老朋友们一起玩杀人游戏。如果有人觉得群聊不爽,可以另找时间单独约见我,本公子知无不言,言无不尽,只为传播技术的火种,让更多人拥有自己的传播平台。

同城活动页面在这:http://www.douban.com/event/10282417/

开始时间: 9月29日 周一 19:00
结束时间: 9月29日 周一 21:00

地点: 北京 清华大学附近的成府路上的咖啡馆
发起人: Zola|楚国人
类型: 讲座沙龙   78人感兴趣   19人参加

没有评论: